如何利用第三方服务发动 Web 攻击

在很久之前,我们就在加速乐的离线日志中发现了来自谷歌爬虫攻击,事实上,不止谷歌爬虫,包括百度之类的也在内,如下图,是我们一个内部平台找到的一条来自百度爬虫的注入:

1.png

验证下这个 IP 123.125.71.99:

2.png

除了百度、谷歌,还有其他。利用其他三方网站的服务去请求 Payload 实际上是很容易的。例如,我还从加速乐日志里发现来自 Google Reader 等等。

来点实际的。比如,我可以用鲜果阅读的订阅去向我博客提交注入请求:http://lx.shellcodes.org/show.php?id=4 and 1=1

订阅这条带 Payload 的地址后,我从博客的日志中就发现了攻击请求:

3.png

这个 IP 其实就是鲜果订阅的 IP。

百度网盘也可以,新建个下载任务:

4.png

接着看日志:

5.png

像百度网盘这些提供了 API 服务的,是不是写点脚本批量攻击呢;还有一些服务可以看到请求后返回的 HTTP 状态的,是不是更精准知道攻击结果呢。。理论上可以绕过一些 IP 白名单。