黑帽美国会议。 致富或丧命：使用Black Hat在互联网上赚钱。 第一部分

主持人：女士们，先生们，这个表演非常有趣，也很有趣，今天我们将讨论在互联网上观察到的真实事物。 这次对话与我们在Black Hat会议上惯用的对话略有不同，因为我们将讨论攻击者如何从其攻击中获利。

我们将向您展示一些可以获利的有趣攻击，并讨论当晚我们经过Jägermeister并进行头脑风暴时真正发生的攻击。 这很有趣，但是当我们冷静下来时，我们与从事SEO的人进行了交谈，并真正了解到很多人都从这些攻击中获利。

我只是一个没有头脑的中层经理，所以我放弃座位，想向您介绍比我聪明得多的杰里米和特雷。 我应该有一个聪明有趣的介绍，但是这里没有，所以我将显示这些幻灯片。

屏幕上显示了代表杰里米·格罗斯曼和特雷·福特的幻灯片。
WhiteHat Security的创始人兼CTO Jeremy Grossman在2007年被InfoWorld评为25位最佳CTO，Web应用程序安全联盟的联合创始人和跨站点脚本攻击的合著者。

Trey Ford是WhiteHat安全性体系结构解决方案部门的主管，作为财富500强公司（PCI DSS支付卡数据安全标准的开发者之一）的安全顾问，拥有6年的经验。

我认为这些图片弥补了我缺乏幽默感的缺点。 无论如何，我希望您喜欢它们的表现，在此之后，您将了解如何在Internet上利用这些攻击来赚钱。

杰里米·格罗斯曼：下午好，谢谢大家的光临。 这将是一个非常有趣的对话，尽管您不会看到零日攻击或新的酷技术。 我们只会尝试有趣地讲述每天发生的真实事情，并让坏人“煮”很多钱。



我们不会努力使您对这张幻灯片中显示的内容印象深刻，而只是解释我们公司的所作所为。 因此，White Hat Sentinel或“ White Hat Sentinel”是：

• 无限数量的评级-对客户站点的控制和专家管理，无论站点大小和更改频率如何，都可以扫描站点；
• 范围广泛-授权扫描站点以检测技术漏洞，并进行用户测试以检测未到达的业务区域中的逻辑错误；
• 消除假阳性结果-我们的工作组会检查结果并指定适当的威胁严重性和等级；
• 开发和质量控制-WhiteHat Satellite Appliance系统使我们能够通过访问内部网络来为客户系统提供远程服务；
• 改进和改进-逼真的扫描使您可以快速有效地更新系统。

因此，我们对全球任何站点进行审核，我们拥有最大的Web应用程序渗透测试人员团队，我们每周执行600-700次评估测试，本演示文稿中将看到的所有数据均来自我们执行此类工作的经验。
在下一张幻灯片上，您将看到世界站点上最常见的10种攻击类型。 显示某些攻击的脆弱性百分比。 如您所见，所有站点中有65％的人容易受到跨站点脚本的攻击，40％的人允许信息泄漏，23％的人容易遭受内容欺骗。 除了跨站点脚本编写之外，SQL注入和臭名昭著的虚假跨站点查询（不在我们的前十名中）很常见。 但是在此列表中，存在带有深奥名称的攻击，其描述使用的是模糊的表述，其特殊性在于它们针对的是特定公司。



这些是身份验证中的缺陷，授权过程中的缺陷，信息泄漏等。

下一张幻灯片讨论了对业务逻辑的攻击。 质量保证质量检查小组通常会忽略他们。 他们测试软件应该做什么，而不是软件可以做什么，然后您可以看到任何东西。 扫描仪，所有这些白色/黑色/灰色Bohs（白色/黑色/灰色框），所有这些彩色框在大多数情况下都无法检测到这些东西，因为它们只是固定在攻击可能是什么或发生什么情况的背景下看来什么时候发生了。 他们缺乏智力，不知道有没有作用。

IDS入侵检测系统和WAF应用程序级防火墙也是如此，由于HTTP请求看起来完全正常，它们也无法检测业务逻辑中的缺陷。 我们将向您展示与业务逻辑缺陷相关的攻击是很自然地发生的，没有黑客，没有元字符和其他怪异，它们看起来像自然过程。 最重要的是，坏家伙喜欢这类事情，因为业务逻辑的缺陷使他们赚了钱。 他们使用XSS，SQL，CSRF，但是进行这种类型的攻击变得越来越困难，而且我们发现在过去的3-5年中，它们的数量减少了。 但是它们不会自行消失，因为缓冲区溢出不会随处可见。 但是，坏人认为如何使用更复杂的攻击，因为他们认为“真正的坏人”总是试图通过攻击赚钱。

我想向您展示真正的把戏，您可以将它们带入您的武器库，以正确的方式来保护您的业务。 我们演示文稿的另一个目标是，您可能会对道德操守感到疑惑。

在线民意调查

因此，在开始讨论业务逻辑的缺点时，让我们谈谈在线调查。 在线民意调查是发现或影响民意的最常见方法。 我们将从0美元的利润开始，然后考虑使用欺诈性方案的5、6、7个月的结果。 让我们从一个非常非常简单的调查开始。 您知道，在线民意调查是由每个新站点，每个博客，每个新闻门户进行的。 此外，不是一个利基市场太大或太狭窄，而是我们希望看到特定领域的舆论。

我想提请您注意在德克萨斯州奥斯丁进行的一项调查。 自从奥斯汀比格犬赢得威斯敏斯特犬展以来，奥斯汀美国政治家决定在得克萨斯州中部为养狗者举办在线奥斯汀最佳犬展（最佳犬种）。 成千上万的所有者发送了照片，并对自己的最爱进行了投票。 与其他许多民意测验一样，除了炫耀您的宠物的权利外，别无他物。

为了投票，使用了Web 2.0系统的应用程序。 如果您喜欢这只狗，请单击“是”，然后确定它是否是该品种中最好的狗。 因此，您对发布在网站上的几百只狗进行了投票，作为该节目获胜者的候选人。

使用这种投票方法，可以进行3种作弊。 首先是无数次选票，当您一次又一次地投票给同一只狗时。 这很简单。 第二种方法是，当您对竞争犬进行大量投票时，会投反对票。 第三种方法是，在比赛的最后一刻，您放置了一只新狗，投了赞成票，因此获得否定票的机会很小，而您却获得了100％的赞成票。



此外，获胜率是根据百分比确定的，而不是总票数，也就是说，您无法确定哪只狗获得了最高的正评级，只计算了特定狗的正评级和负评级的百分比。 具有最佳正/负比的狗获胜。

汉森的朋友罗伯特·“ RSnake”同事请他帮助她的吉娃娃小女孩赢得比赛。 你知道罗伯特，他来自奥斯丁。 作为超级黑客，他关闭了Burp代理并采取了阻力最小的途径。 他利用作弊1号的技巧，在Burp周期中驱使它成百上千次请求，这使这只狗获得了2000赞成票，并使其排名第一。



然后，他使用了第二种技术来对付绰号为Chuchu的竞争对手Taini作弊。 在比赛的最后几分钟，他对Chuchu投了450票，以超过2：1的投票率进一步巩固了Tiny的第一名的位置，但是在正面和负面评论的百分比中，Tinyi仍然输了。 在这张幻灯片上，您会看到由于这种结果而灰心的网络犯罪分子的新面孔。



是的，这是一个有趣的场景，但是我认为我的女朋友不喜欢这种表演。 您只想赢得奥斯丁的奇瓦瓦州比赛，但是有人试图“砍死”您，然后照做。 好吧，现在我把这个词传给Trey。

创造人为的需求和收益

Trey Ford： “人工DoS赤字” 的概念是指当我们在线购买门票时出现的几种不同有趣的情况。 例如，在预订航班的特殊地点时。 这可以应用于任何类型的门票，例如，某些体育赛事或音乐会。



为了防止重复购买稀缺物品，例如飞机上的座位，实物，用户名等，应用程序会在一段时间内阻止对象，以防止冲突。 此处存在一个与预先保留内容的能力相关的漏洞。

我们都知道超时，我们都知道会话结束。 但是，这种特殊的逻辑缺陷使我们可以选择飞行的地点，然后又返回而无需支付任何费用即可再次做出选择。 当然，你们中很多人经常出差，但是对我来说，这是工作的重要组成部分。 我们在很多地方测试了该算法：您选择一个航班，选择一个地方，只有准备好后才能输入付款信息。 也就是说，选择位置后，该位置将在几分钟到几小时内保留给您一段时间，并且所有这些时间没有其他人可以保留该位置。 由于等待时间长，您真正有机会保留飞机上的所有座位，只需返回站点并预订所需的座位即可。

因此，出现DoS攻击选项：对飞机上的每个位置自动重复此循环。



我们至少与两家最大的航空公司进行了测试。 您可以通过任何其他保留找到相同的漏洞。 这是一个为希望转售门票的人提高票价的绝好机会。 为此，投机者只需要保留剩余的门票而没有任何现金损失的风险。 这样，您可以“崩溃”销售诸如视频游戏，游戏机，iPhone等高需求产品的电子商务。 也就是说，在线预订或预订系统的现有缺陷使攻击者有可能以此赚钱或损害竞争对手。

解码验证码

杰里米·格罗斯曼（Jeremy Grossman）：现在让我们谈谈验证码。 每个人都知道这些烦人的图片阻塞了Internet，并被用来打击垃圾邮件。 潜在地，您还可以从验证码中获利。 Captcha是一种全自动的Turing测试，可让您将真实的人与机器人区分开。 在研究使用验证码的问题时，我发现了很多有趣的东西。



验证码在2000-2001年左右首次使用。 垃圾邮件发送者想要消除验证码，以便在Gmail，Yahoo Mail，Windows Live Mail，MySpace，FaceBook等免费电子邮件服务上进行注册。 并发送垃圾邮件。 由于验证码已被广泛使用，因此出现了一个服务市场，它提供了规避普遍存在的验证码的功能。 最终，它可以获利-垃圾邮件就是一个例子。 您可以通过3种方式绕过验证码，让我们看看它们。

首先是想法实施的缺陷，或验证码使用的缺点。
因此，问题的答案包含的熵太少，例如“写，什么是4 + 1”。 相同的问题可以重复很多次，而可能的答案范围很小。

验证码的有效性通过以下方式检查：

• 测试应在人员和服务器相互移开的条件下进行，
  对一个人来说，测试应该不难；
• 问题应该是人们可以在几秒钟内回答，
  只有被问到问题的人才能回答；
• 该问题的答案对于计算机而言应该是困难的；
• 对先前问题，答案或其组合的了解不应影响下一次测试的可预测性；
• 测试不应歧视视力或听力障碍的人；
• 考试不应有地理，文化或语言偏见。

事实证明，创建“正确的”验证码非常困难。

验证码的第二个缺点是使用光学字符识别OCR的能力。 一段代码可以读取验证码图像，无论它包含多少视觉噪声，查看其形成的字母或数字，并使识别过程自动化。 研究表明，大多数验证码很容易被破解。

我将引用英国纽卡斯尔大学计算机科学学院的报价。 他们谈到破解Microsoft CAPTCHA的难易程度：“我们的攻击能够确保92％的分段成功，这意味着通过对图像进行分段和随后的识别，可以在60％的情况下破解MSN验证码方案。” 雅虎的验证码黑客也很容易：“我们的第二次攻击成功细分了33.4％。 因此，可以破解大约25.9％的验证码。 我们的研究表明，垃圾邮件发送者绝对不应利用廉价的人工来绕过Yahoo的验证码，而需要依靠低成本的自动攻击。

绕过验证码的第三种方式称为“机械土耳其人”或“土耳其人”。 发布后，我们立即针对Yahoo CAPTCHA对它进行了测试，而到目前为止，我们还不知道，也没有人知道如何防御这种攻击。



当您有一个坏人会运行一个成人网站或一个在线游戏，用户从中请求某种内容时，就是这种情况。 在他们看到下一张图片之前，黑客拥有的网站将向您所知的在线系统（例如Yahoo或Google）发出后端请求，从那里获取验证码并将其输入用户。 并且，一旦用户回答了问题，黑客就会将猜测的验证码发送到目标站点，并向用户显示其站点中请求的图像。 如果您有一个非常受欢迎的网站，其中包含许多有趣的内容，则可以动员大批人，他们会自动为您填写其他人的验证码。 这是非常强大的事情。

但是，不仅人们尝试绕过验证码，这种技术还使用了业务。 Robert“ RSnake” Hansen在他的博客中曾与一名罗马尼亚“验证码求解器”进行过交谈，后者说他可以以每小时9到15美元的速度解决每小时300到500验证码的问题，一千个验证码可以解决。



他直接说，他的团队成员每天工作12小时，在这段时间内解决了大约4800个验证码，并且根据验证码的难度，他们每天最多可以获得50美元的工作费用。 这是一个有趣的帖子，但更有趣的是博客用户在此帖子下留下的评论。 越南立即出现一条消息，某位Kwang Hung报道了他的20人小组，他们同意以4美元的价格工作以获取1000个猜中的验证码。

以下消息来自孟加拉国：“您好！ 希望你一切都好！ 我们是孟加拉的领先加工公司。 目前，我们的30位运营商每天能够解决超过100,000个验证码。 我们提供了优越的条件和低廉的价格-雅虎，Hotmail，Mayspace，Gmail，Facebook等的每1000个猜测的验证码2美元。 我们期待进一步的合作。”

某位Babu发出了另一个有趣的消息：“我对这项工作很感兴趣，请给我打电话。”

所以这很有趣。 我们可以讨论这种活动是合法还是非法，但事实是人们确实从中赚钱。

访问外国帐户

Trey Ford：我们要讨论的下一个场景是通过接管其他人的帐户来赚钱。



每个人都忘记了密码，对于测试应用程序的安全性，密码重置和在线注册是两个不同的重点业务流程。 , . , , , .

- Sprint. White Hat Sprint -. , , , – , , . - , , . , . – , , . -: GPS- .

, Sprint . , , . Sprint, . , : « , », : Lotus, Honda, Lamborghini, Fiat « ». , , , - ? , — .

: « »? , . (Stifliin) — «», , — , . , , . , , - , «i». , – , , . .

: « ?» — (Longmont), (North Hollywood), (Genoa) (Butte)? , – .

- Sprint , . , , . , , « ».



, GPS , . , .

, . , , .



, . , . , , , . , , , . , . , !

, . Gmail, Yahoo Mail, Hotmail, AOL Mail, -, , , . , , .



因此，在中国，在线服务“密码恢复”的基础是您需要付费才能破解“您的”帐户。300元人民币（约合43美元），您可以尝试重置国外邮箱的密码，成功率达85％。对于200元人民币（即29美元），您将成功使用90％的邮箱密码重置家庭邮件服务。入侵任何公司邮箱的费用为人民币1000元（合143美元），但不能保证成功。您还可以使用外包来破解服务163、126，QQ，雅虎，搜狐，新浪，TOM，Hotmail，MSN等上的密码。



黑帽美国会议。 致富或丧命：使用Black Hat在互联网上赚钱。 第2部分（链接将于明天提供）

一点广告：）

感谢您与我们在一起。 你喜欢我们的文章吗？ 想看更多有趣的资料吗？ 通过下订单或向您的朋友推荐来支持我们，开发人员的云VPS从4.99美元起 ， 为Habr用户提供30％的折扣，这是我们为您发明的入门级服务器的独特模拟： 关于VPS（KVM）E5-2650 v4的全部真相（6核心）10GB DDR4 240GB SSD 1Gbps from $ 20或如何共享服务器？ （RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。

戴尔R730xd便宜2倍？ 只有我们有2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视在荷兰起价199美元 ！ 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起！ 阅读有关如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？