移花接木,如何利用第三方服务发动WEB攻击

开发 前端
继《走近科学:如何利用Google机器人进行SQL攻击》后,咱们来讨论讨论如何利用三方服务进行移花接木。

继《走近科学:如何利用Google机器人进行SQL攻击》后,咱们来讨论讨论如何利用三方服务进行移花接木。

在很久之前,我们就在加速乐的离线日志中发现了来自谷歌爬虫攻击,事实上,不止谷歌爬虫,包括百度之类的也在内,如下图,是我们一个内部平台找到的一条来自百度爬虫的注入:

验证下这个IP:123.125.71.99:

除了百度、谷歌,还有其他。利用其他三方网站的服务去请求payload实际上是很容易的。例如,我还从加速乐日志里发现来自google reader等等。

来点实际的。比如,我可以用鲜果阅读的订阅去向我博客提交注入请求:http://lx.shellcodes.org/show.php?id=4 and 1=1

订阅这条带payload的地址后,我从博客的日志中就发现了攻击请求:

这个IP其实就是鲜果订阅的IP。

百度网盘也可以,新建个下载任务:

接着看日志:

像百度网盘这些提供了API服务的,是不是写点脚本批量攻击呢;还有一些服务可以看到请求后返回的HTTP状态的,是不是更精准知道攻击结果呢。。理论上可以绕过一些IP白名单,剩下的看官们自己发挥吧,我继续工作了。

原文链接:http://www.freebuf.com/articles/web/16918.html

责任编辑:陈四芳 来源: freebuf.com
相关推荐

2009-04-20 09:36:33

2015-11-05 16:44:37

第三方登陆android源码

2010-11-01 17:49:30

2011-07-03 18:59:27

流量

2017-08-04 18:10:09

2014-07-25 09:33:22

2012-01-04 14:02:26

JsonCpp

2013-06-25 09:10:36

云数据安全云学习曲线云安全

2012-03-16 13:30:11

IT服务

2020-06-04 07:48:08

Istio服务注册API Server

2014-07-23 08:55:42

iOSFMDB

2019-07-30 11:35:54

AndroidRetrofit

2009-03-12 15:32:49

WEB开发

2010-08-31 17:12:13

2015-10-22 10:36:09

OracleRimini StreOracle诉讼

2015-04-27 19:32:16

Moxtra

2022-10-24 07:32:20

Mavenjar包代码

2023-07-26 08:21:33

2019-09-03 18:31:19

第三方支付电商支付行业

2016-10-21 14:09:10

点赞
收藏

51CTO技术栈公众号