9.1 Web蠕虫思想

1. Web蠕虫的类别

Web蠕虫主要包括:XSS蠕虫、CSRF蠕虫、Clickjacking蠕虫,这三类蠕虫都与具体的漏洞风险有关系,从名字上很好区分。为了更好地表述Web蠕虫思想,下面会顺带提及第四类:文本蠕虫。

2. Web蠕虫思想

Web蠕虫的思想很简单,就是用户参与,而Web 2.0网站正好具备这个条件,比如,以人人网、开心网为代表的SNS网站(其用户关系如图9-1所示),以新浪微博、腾讯微博为代表的微博网站,以新浪博客、百度空间为代表的博客网站等。Web 2.0虽然定位不同,但都离不开用户参与,用户对内容的控制权非常大。Web蠕虫正是借了该东风之势。

312

图9-1 SNS用户关系

我们重点介绍的这些蠕虫除了利用的漏洞不一样,其本质是一样的,都是使参与进Web 2.0交互的用户受到了欺骗,导致被动或主动(或介于两者之间)地传播了威胁。从XSS蠕虫到CSRF蠕虫,再从Clickjacking蠕虫到文本蠕虫,越往后,社工的成分越大。比如文本蠕虫,相信很多人都遇到过这样的场景:收到一封E-mail,而且是好友转发来的,如一封祝福邮件,最后会提醒你转发10位好友,如果转发了会得到上天祝福,如果不转发,说明你不够朋友,有的甚至会诅咒不转发的人。大家可以看到,传播这样的内容是我们主动去操作完成的,这样的内容传播利用了大众的心理,在心理作用的驱使下去传播,我们称之为文本蠕虫。文本蠕虫传播流程就是这样,内容可以变得更加邪恶,也可以更加善良。可以看出,这是没有任何Web漏洞利用的,可以说是纯社工属性。