JavaScript wstrzyknięty pod URL

Question

Mamy stosunkowo popularną stronę internetową, a ostatnio zaczęliśmy widzieć dziwne adresy URL pojawiające się w naszych dziennikach. Nasze strony odwołują się do jQuery i zaczęliśmy widzieć fragmenty tych skryptów wstawiane do adresów URL. Mamy więc zalogowaniu wpisy tak:

/js/,data:c,complete:function(a,b,c){c=a.responseText,a.isResolved()&&(a.done(function(a){c=a}),i.html(g?d(

User Agent ciąg na żądanie jest Java/1.6.0_06, więc myślę, że możemy bezpiecznie założyć, że to bot, który jest prawdopodobnie napisany w Javie. Ponadto mogę znaleźć fragment załączonego kodu w pliku jQuery.

Moje pytanie brzmi: dlaczego bota spróbuje wstawić odnośnik Javascript do adresu URL?

Answer 1

Może to nie być skierowana konkretnie do Twojej witryny - może to być próba znalezienia witryn zdolnych do XSS, aby atakujący mógł później ustalić, co jest kradzież, i wykonać atak, a następnie napisać stronę internetową, aby ją wdrożyć. wobec prawdziwych użytkowników.

W takich przypadkach atakujący może użyć robotów do zbierania kodu HTML z witryn, a następnie przekazać ten kod HTML do instancji IE działających na komputerach zombie, aby zobaczyć, jakie komunikaty są usuwane.

Nie widzę tutaj żadnej aktywnej ładowności, więc zakładam, że tutaj skracałeś jakiś kod, ale wygląda na to, że JSCompiled kod jQuery, który prawdopodobnie używa jQuery's postMessage, więc prawdopodobnie jest to próba XSS twojego kodu do ekstrakcji danych użytkownika lub poświadczenia, zainstalować keyloggera JavaScript itd

bym grep poprzez JavaScript szuka kodu, który robi coś takiego

eval(location.substring(...)); 

lub cokolwiek, który używa wyrażenia regularne lub podciągu połączenia chwycić część location i zastosowań eval lub new Function, aby go rozpakować.

Answer 2

Sprawdzanie podatności na Cross Site Scripting, być może.

Jeśli bot wykryje udane wstrzyknięcie, może wprowadzić niebezpieczny kod (np. Kradzież haseł użytkowników lub przekierowanie ich na złośliwe strony).