看门狗2 僵尸网络资源_僵尸网络电影_僵尸网络(2)

这个黑色产业已经在这样做了，在乌云上有一个实际案例，就是利用搜狗拼音来钓鱼的案例。

现在是应题了，叫一个被忽略的漏洞。这个漏洞是在2013年发布出来的，叫优库分站一个存储型XSS漏洞。这个漏洞是被优酷忽略的，这个漏洞不光危害是高，而且很高。这个是发漏洞的一个截图证明，在这上面确实很难看出来危害，无法就是优酷的一个视频里面有一个XSS，可以弹出这样一个框框，就是不能直接看出它的危害。

后来这个危害还被忽略了，也公开了，包括我现在还在讲，这个漏洞还没被修。为什么会被忽略，这个是我不能理解的。首先我猜，难道是因为存在缺陷的域名不是优酷自己的域名。

实际上，XSS影响域名的话，大家可以看到，它确实是优酷.com，至少从影响的域名来看的话是应该被修的，而不是被忽略的漏洞。第二，哪怕你是第三方文件导致自身的域名，不是你自己文件下的，为什么没有通知第三方来修，这也是我不能理解的。漏洞被忽略之后会有什么后果?

大家知道，有很多网站会调用优酷网或者其他网站，这样它们也是很大的受害群体。为了研究到底有多少网站受到漏洞影响?我们是做这样的实验，我和我们团队的人一起来做这样的测试，我们找了一些网站，这个网站被我们拿来做测试，表示抱歉，但这个也没办法。

我们在这里插入XSS五之后，我们开始看这个，它们被我们感染恶意代码，它们访问用户的时候或者其他网站的时候，我们恶意代码会让它们去调用我们一个我们指定的网站，在访问日志里会记录这些用户在哪些网站访问到我们的。我们统计结果是什么样的?

问题二，对XSS不了解或者不理解它的危害，可能看我之前的视频，弹个OK，弹个OK，到底有什么用呢?

我给大家看一下，怎么从OK，到真实数据的泄漏，会泄漏什么数据，黑客会获得什么数据，我们看一个视频，大家在生活中，对普通网民来说用的就是QQ，大家也比较关心QQ上面的数据，而且了解我的，知道我喜欢黑腾讯，所以我来拿它做演示。

现在黑客把代码改成真实的代码了，我就像刚才那样打开页面，我正在看QQ空间，这个是大家正常浏览，但是没有想到的是内容更新了，然后我去上优酷网，大家可以看到这个时候恶意代码已经被执行了，这都是模拟大家在做的操作，最后我们来看看黑客这边得到了什么?

大家可以看到，我用自己QQ做的测试，这里访问了优酷之后，你QQ所有好友被发送到黑客这边，这个只是拿好友数据做掩饰，可能其他数据也会因此而泄漏。

我们拿优酷做演示，就是你曾经访问了我恶意构造的网页后，你去看某些视频网站，你的信息都是会被发送到我这边的，而且更关键的是，这个东西只要你不清理它，它一直存在在你电脑上的，总有一天你会上钩的。

后来的话，我看还存在哪些问题?我们看一下乌云已经公开的案例，实际上这三个漏洞的话，与我多少都有点关系，不管是马甲还是间接报告，还是怎么样的，实际上我发了这个之后还是没有引起太多各大企业的注意。第一，全部博客可留后门。僵尸网络

你只要你是新浪博客用户，不管你以后访问新浪博客任意文件，都会执行我这个恶意代码的。第二个，淘宝支付宝的，这个叫一个可悄无声息窃取淘宝支付宝帐号的。这个标题看起来很大，但是实际上一点都不危言耸听的。

这些企业不知道自查周期比较长还是怎么样的，同样的漏洞在阿里云服务上一样存在的，后来也被报告修复了。现在我看了一下，淘宝相关的页面上，同等类型漏洞都已经做了相应保护措施了，他们已经意识到这个漏洞危害的严重性了。

其实我今天给大家讲的，就是说漏洞这块东西，就说到这里。我标题还有后半部分，叫XSS僵尸网络。这个东西敢这么说的话，是有一定漏洞基础的，是因为这个漏洞本身特点决定，它是可以用来做这个东西的。首先，隐蔽性。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-32208-2.html