图片来源于网络
互联网的迅速发展,网络安全一直被呼吁提高警惕,昨天,4月29日是被批准的“首都网络安全日”,在大家倡导网络安全的号召刚刚褪去,黑客却利用搜狐视频XSS漏洞发动大规模DDoS攻击。据了解,搜狐视频的一个XSS跨站脚本漏洞成为一起大规模僵尸网络DDoS攻击的源头,黑客因掌握了搜狐网的一个存储型注入点。攻击者利用该漏洞在搜狐视频的用户头像标签中注入JavaScript代码,随后攻击者在大量视频中发布评论,每条评论中都附带恶意代码。在用户访问这些含有恶意代码的页面时代码会执行并触发另外一个代码注入以及一个Ajax脚本DDoS工具,向用户浏览器发出指令,以每秒一次的频率向目标攻击网站发送请求。
每秒一次,这个看似频率不高,但是,基于搜狐网的广大用户数,加上搜狐网站的一些热门视频文件时间较长,这样一来,随之产生的DDoS攻击却是令人惊恐,据调查,此次DdoS大规模攻击或将成为有史以来的最大规模XSS跨站DDoS攻击。
