web服务也需防范勒索行为来袭

勒索行为示例锁定个人中心滥用服务隐私泄露诱骗恐吓防范建议

想一下近年来安全行业比较火爆的勒索软件的技术原理，自从WannaCry类漏洞算起，大都是利用永恒之蓝漏洞配合通过smb弱口令进行传播，通过对主机重要数据进行加密后提示要求比特币渠道进行支付，用户无奈妥协后客服会发送解密私钥。任何远程类漏洞的漏洞均可用于勒索软件，比如mysql数据库、框架类、路由器漏洞。如何不能用于勒索，那么还能挖矿。

目前已知案例的漏洞利用技术均基于主机类的漏洞，这里讨论下通过xss搭配csrf这样的web类安全漏洞进行勒索行为，同时给出相应的防范建议。xss是跨站脚本利用漏洞的简称，技术上分为反射型，dom型，存储型，只有存储型具备传播性，难检测性，蠕虫传播性，本文以dvwa相关的模拟环境做概念性验证，对于用户的影响主要从机密性，可用性，完整性方面进行探讨。

安全的风险的组成首先具备相关资产，存在对应漏洞和可能的威胁的情况下才存在。xss已经是一类常见的漏洞，组成风险主要涉及用户的数据资产和应用功能，如果有黑色产业链条为了盈利已经投身去做，就会对用户形成实际的威胁。

示例

锁定个人中心

通过xss锁定用户的个人资料，修改密码，利用受害者的恐惧、服从心理，威胁删除服务和修改数据来影响可用性，胁迫用户就范，在支付赎金后，通过技术手段恢复正常服务及密码。

滥用服务

xss实际上可以通过浏览器进行一系列活动，通过对生活服务类，个人相关、企业邮箱站点，可以通过威胁用户进行勒索。比如要求用户立即支付赎金，警告会以用户合法身份下大量的购物，火车票、外卖、订阅服务订单，或者警示将为站内联系人、好友发送侮辱性语言进行胁迫。用户虽然可以关闭浏览器不管不顾，但是该服务已对真实的世界的利益造成损害。

隐私泄露

获取了个人权限后，利用站点功能的本身保密性，逼迫要求用户支付一定的金额，否则将暴露用户的各项敏感信息，破坏私密性。在体检医疗信息、健康记录，个人邮件、聊天空间类的场景下有一定的威胁性。

诱骗恐吓

也可谎称在用户的电脑网页中发现病毒信息，诱骗用户下载伪装的杀毒软件，或者利用公检法的套路，警告将以用户身份通过上传功能发布黄赌毒内容，诱导受害者主动和骗子联系，进行下一步行为诱导安装主机勒索软件，或者通过现实场景实施勒索犯罪行为。

防范建议

网络安全领域持续发展，用户需要避免点击可疑链接，保持良好的上网习惯。站点服务提供者需要具备一定的安全防御能力，长期防微杜渐，任何低级别的漏洞均有丰富发散的利用空间，务必遵从隐私保护协议，做好安全开发，更好地从用户角度，实现安全能力建设。