Javascript được tiêm vào URL

Question

Chúng tôi có một trang web tương đối phổ biến và gần đây chúng tôi bắt đầu thấy một số URL lạ xuất hiện trong nhật ký của chúng tôi. Các trang của chúng tôi tham khảo jQuery và chúng tôi bắt đầu thấy các phần của các tập lệnh đó được chèn vào URL. Vì vậy, chúng tôi đã đăng mục như thế này:

/js/,data:c,complete:function(a,b,c){c=a.responseText,a.isResolved()&&(a.done(function(a){c=a}),i.html(g?d(

Đại lý chuỗi tài khoản của Yêu cầu là Java/1.6.0_06, vì vậy tôi nghĩ chúng ta có thể giả định đó là một bot đó là lẽ viết bằng Java. Ngoài ra, tôi có thể tìm lại đoạn mã được thêm vào trong tệp jQuery.

Bây giờ, câu hỏi của tôi là tại sao bot có thể thử chèn Javascript được tham chiếu vào URL không?

Answer 1

Nó có thể không được nhắm mục tiêu cụ thể vào trang web của bạn - có thể là một shotgun để tìm các trang web có thể XSS để kẻ tấn công sau đó có thể tìm ra những gì có thể ăn cắp và tấn công và viết một trang web để triển khai chống lại người dùng thực.

Trong trường hợp đó, kẻ tấn công có thể sử dụng bot để thu thập HTML từ các trang web, sau đó chuyển HTML đó cho các cá thể của IE đang chạy trên máy zombie để xem thư nào bị loại bỏ.

Tôi không thấy bất kỳ tải trọng hoạt động nào ở đây vì vậy tôi cho rằng bạn đã cắt bớt một số mã ở đây, nhưng có vẻ như mã Biên dịch jQuery có thể sử dụng jQuery postMessage vì vậy có thể là cố gắng XSS mã của bạn để exfiltrate dữ liệu người dùng hoặc thông tin, cài đặt một keylogger Javascript vv

tôi sẽ grep thông qua JavaScript tìm kiếm mã mà làm điều gì đó như

eval(location.substring(...)); 

hoặc bất cứ điều gì mà sử dụng một regexp hoặc chuỗi cuộc gọi để lấy một phần của location và cách sử dụng eval hoặc new Function để giải nén nó.

Answer 2

Kiểm tra lỗ hổng trong Script Cross Site Script, có thể.

Nếu bot phát hiện tiêm thành công, nó có thể tiêm mã nguy hiểm (ví dụ: ăn cắp mật khẩu của người dùng hoặc chuyển hướng chúng đến các trang web độc hại).