1. 聚能聊>
  2. 话题详情

世界杯的狂欢也是黑灰产的狂欢?

以下来自阿里巴巴集团安全部的高级安全专家 汇丰 的解读:

4年一届世界杯正在如火如荼的进行,等了4年,谁都不想轻易的放过这一个月的狂欢,除了买票去现场感受足球氛围以外,大部分人都会去预测每场比赛的结果,毋庸置疑各种博彩和竞猜app是世界杯月里面安装量增长最快的应用。


今天我们不讨论世界杯谁能夺冠,也不讨论博彩和比赛竞猜的玩法,我们先从广告开始看下相关的黑灰产如何突破重重阻碍把广告打到你脸上,再谈谈一些看似低危的漏洞如果用在黑灰产中会带来多少危害。讨论的内容有点敏感,还是那句话,技术是把双刃剑,希望大家看到的是两面,但是只用一面。文章中大部分的漏洞本身就是在修复范围内的漏洞,只不过站在不同的角度能看到不同的利用价值或者说危害程度,有些漏洞对公司无害或者没什么危害不代表他的社会危害低,就像电信诈骗一样,公司泄露的是数据,但从单个case来说排除部分大公司的赔偿,基本都是需要用户自己买单。


流量是所有互联网公司最看重的,只要有流量就能变现。流量这块中很重要的就是三方搜索引擎的流量来源,也就是我们常用的谷歌、百度、神马等,另外就是基于搜索引擎的各种黑、白帽seo技术。我们知道搜索引擎抓取网页以后在建立排名的时候主要以title关键词建索引然后根据一定的算法建立排名,排名算法中特别重要的是看网站的权重,如果是权重高的网站关键词也相应排名比较靠前。所以从这个角度来看主要有两个条件,一个是title可控,一个是网站本身的权重,所以基于这两个条件我们来看下黑灰产是怎么玩转一些鸡肋漏洞的。


场景一、搜索


内部搜索是现在各网站或者服务的标配,很多搜索结果的聚合页面都会把我们搜索的关键词放到title当中,相当于用户可自定义title,然后把整个搜索链接想办法让搜索引擎收录,因为网站本身的权重较高,所以这种的链接有时能获得较好的排名。这是利用这点黑灰产就可以免费打广告了,而且这种方法成本非常低,通过一个脚本可以生成无数这种网页,如下列举一些截图:


e61625d3d4402aa73563246d64b8652bfc5c2810


0b5e293f1274e4e47ef43985fc58ac9e3e6f3a03


292dd2256036a1515a8e9cb32a4f5a81460e386f


场景二、个人主页


基于搜索的场景搜索引擎很好封堵,搜索引擎应该也会逐渐识别,处理规则可以类似反射型xss,当url中的关键字在title中出现就不收录,所以以后估计会越来越少越来越难,但是基于个人主页的场景应该会长期存在,需要做内容关键字识别及时封堵。


如下图是1688的个人主页:


1c8663454d64c6500f51934684c787f31c82281b


f91cdce252143ef3d5c0236cb24da112c343c1c0


百度自家产品百家号:


6f1d0980bd6c0a24ffe3c8c916e408f9245a89c7


更多内容请移步:世界杯的狂欢下看一些低危漏洞在黑灰产中的高价值

那么问题来了~:
1、漏洞威胁等级怎么定的,你认为怎么才算低危漏洞?

2、你还知道哪些对低危漏洞的应用?

3、如何应对低危漏洞?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    手机话费 x 3

  • 奖品二

    福禄寿淘公仔 x 1

  • 奖品三

    阿里云代金券 x 5

7个回答

1

海阔天空yy 已获得手机话费 复制链接去分享

1、漏洞威胁等级怎么定的,你认为怎么才算低危漏洞?
个人感觉,简单分为 低,中,高 吧,或者叫 轻微 一般,严重 也可以
低危漏洞应该是不会导至像崩溃,操作无法进行等的 ,对使用没有太大影响的小问题。
或者不直接的严重影响主业务流程的。
2、你还知道哪些对低危漏洞的应用?
像聚能聊的奖品 地址,你如果添了多次地址,他们只会随机从你添过的地址是选一个来发货。
这个bug对于电商网站可以致命漏洞,但他这个本来也不是为了盈利的,所以这么看是个是低危漏洞。

3、如何应对低危漏洞?
像搜索引擎那个,要多种技术做过滤,后面如果再多个文字广告过滤的,那个问题不就能避免了
一般来说,是针对自己的需求要定制一套准责吧,毕竟有些框架是死的,人是活的,一种技术不行,就两种,三种技术。

0

浮生递归 已获得福禄寿淘公仔 复制链接去分享

1、漏洞威胁等级怎么定的,你认为怎么才算低危漏洞?
漏洞威胁有自己的定级标准。我觉得不会造成什么不好的影响,也不会造成用户的损失的,就可以评为低危漏洞。

2、你还知道哪些对低危漏洞的应用?
很多吧,多到都不用举例了。大凡是软件,基本都有各种低危漏洞。随便在网上搜下都能出来一堆。而且因为是低危的,所以很多时候并不会修补。不过因为没什么利用价值,黑客也并不感兴趣。平时开发中,我也是这种态度。对于没什么影响的低危漏洞就先放着,工期表上比较重要的事情先完成掉。合情合理,没毛病。

3、如何应对低危漏洞?
首先,漏洞是难以避免的,即使做了足够的测试,还是无法保证百分百没漏洞。更比用说低危漏洞。如果要做到没漏洞,可能要上帝或者计算机自身来开发软件才行。只要是人类开发的,漏洞就难以保证。应对方法的话,主要还是做好应急预案吧。

0

aoteman675 已获得手机话费 复制链接去分享

1、漏洞威胁等级怎么定的,你认为怎么才算低危漏洞?
看造成的规模损失大小了,比如一行代码的漏洞可以造成零损失或者几十亿的损失。对了零损失就是低级漏洞,而对于几十亿的损失就是高级损失了,是要高级等级保护那种了。
2、你还知道哪些对低危漏洞的应用?
静态的门户网站都是低危漏洞,就像中小企业和学校的门户经常被篡改。毫无防备的被渗透,还被利用来挖矿。
3、如何应对低危漏洞?
购买安全产品做等保。在代码框架上写好防篡改功能和威胁清洗。

0

沙漠的热情 已获得手机话费 复制链接去分享

1、漏洞威胁等级怎么定的,你认为怎么才算低危漏洞?
我的理解有两层,一来负面影响小,二来菜鸟也能处理,这样的漏洞算低危吧。

2、你还知道哪些对低危漏洞的应用?
织梦CMS漏洞多是出了名的,网络上很多利用织梦漏洞的攻击行为。

3、如何应对低危漏洞?
一来安全产品用起来,二来是学习起来让自己强大。

0

1071030185269940 复制链接去分享

这很正常

0

1837896885034370 复制链接去分享

经济机会无处不在,如何洞察一切,把握机会才是最重要的

0

董君仲77 复制链接去分享

5909
浏览
0
收藏
邀请他人互动
关注
94
粉丝
157
话题
61

简介:

无知人生,记录点滴。 不积跬步,无以至千里;不积小流,无以成江海…… 订阅号:微wx笑, 个人站点:http://www.wei-xiao.top/, CSDN博客:http://blog.csdn.net/testcs_dn
用于实时预测用户对物品偏好,支持企业定制推荐算法,支持A/B Test效果对比

提供基于开源Elasticsearch及商业版X-pack插件,致力于数据分析、数据搜索等场景服务。在开源Ela...

是解决用户结构化数据搜索需求的托管服务,支持数据结构、搜索排序、数据处理自由定制。 为您的网站或应用程序提供简单...

为您提供简单高效、处理能力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,提升运维效率,降低 IT 成本...