我們有一個比較流行的網站,最近我們開始在日誌中看到一些奇怪的URL彈出。我們的頁面引用了jQuery,我們開始看到這些腳本被插入到URL中。因此,我們日誌條目是這樣的:注入URL的Javascript
/js/,data:c,complete:function(a,b,c){c=a.responseText,a.isResolved()&&(a.done(function(a){c=a}),i.html(g?d(
請求的用戶代理字符串是Java/1.6.0_06,所以我想我們可以有把握地假設它是這可能是用Java編寫的一個機器人。另外,我可以在jQuery文件中找到附加的代碼片斷。
現在,我的問題是爲什麼會嘗試在URL中插入引用的Javascript?
它可能不是專門針對您的網站 - 它可能是一個霰彈槍企圖找到XSS能夠站點,以便攻擊者以後可以找出什麼是可擴展和製作攻擊,並編寫一個網頁來部署它對真正的用戶。
在這種情況下,攻擊者可能會使用機器人從站點收集HTML,然後將該HTML傳遞給運行在殭屍機器上的IE實例,以查看出現哪些消息。
我沒有看到任何積極有效載荷在這裏,所以我假設你已經在這裏截短一些代碼,但它看起來像這可能使用jQuery的postMessage所以它可能試圖XSS攻擊代碼,以exfiltrate用戶數據或JSCompiled jQuery代碼憑據,安裝一個鍵盤記錄器的JavaScript等
我會通過你的JavaScript用grep找代碼,不會像
eval(location.substring(...));
location和用途的一部分
或任何eval或new Function解開它。
檢查跨站點腳本漏洞,也許。
如果機器人檢測到注入成功,它可能會注入危險代碼(例如竊取用戶的密碼或將其重定向到惡意網站)。
其他有關這類問題的好論壇是http://security.stackexchange.com和http://sla.ckers.org/ – 2012-02-16 16:06:11