XS. 错误中的热门中国网站利用推出DDOS攻击

DDOS缓解公司解用品已经停止猜测脆弱网站被滥用的视频内容提供商滥用DDOS攻击的猜测是YouTube,并拥有 透露 它实际上是Sohu.com,目前是世界上第27位访问的网站。

本月早些时候,DILASALA的安全分析师Ronen Arias已经写了一个关于有关攻击的博客帖子,该公司被聘请了减轻了。 (仍未命名)的袭击的第三方目标正在被击中“超过2000万超过22,000名互联网用户的浏览器的要求。”

调查揭示了一个不太可能的来源。世界上最受欢迎的网站中的一个XSS漏洞允许攻击者将JavaScript代码注入其中 与其用户的配置文件图像相关联的标记。

攻击者继续评论许多视频,每次恶意代码都会陪同评论。一旦代码在页面上,每次另一个访问者降落在其上,代码都会被执行,并将触发另一个代码注入和一个Ajax脚本的DDOS工具,该工具将拍摄浏览器并指示它发送重复(每秒一个)请求目标网站。

“显然每秒一个请求并不是很多。但是,在处理10,20和30分钟的视频内容时,每分钟数千个观点,攻击会迅速变得非常大而极其危险,” Arias explained.

“知道这一点,罪犯对流行视频发表的评论,有效地创造了包括成千上万的劫持浏览器的自我维持僵尸网络,由毫无疑问的人类访客操作,他们只在那里观看一些有趣的猫视频。”

他还 共享 有关该公司如何阻止攻击并发现其来源的详细信息。

有问题的网站已通知该漏洞,并最终修补了它,允许拆分最终挤压互联网上旋转的谣言。

分享这个