Можно ли атаковать с помощью XSS на статической странице (т.е. без PHP)?

Question

Клиент, на которого я работаю, каким-то загадочным образом завершил работу с некоторыми вредоносными сценариями на своем сайте.Я немного сбит с толку, потому что сайт статичен и не генерируется динамически - без PHP, Rails и т. Д. Однако в нижней части страницы кто-то открыл новый тег и скрипт.Когда я открыл файл на веб-сервере, удалил вредоносную информацию и снова загрузил ее, он все еще был там.Как это возможно?И что еще более важно, как я могу бороться с этим?

РЕДАКТИРОВАТЬ: чтобы сделать его более странным, я просто заметил, что сценарий отображается только в исходном коде, если к странице обращаются непосредственно как «domain.com/index.html»но не просто «domain.com».

EDIT2: Во всяком случае, я обнаружил на веб-сервере какой-то php-файл (x76x09.php), который, должно быть, обновлял html-файл, несмотря на мои попытки удалить его из сценария.Я в настоящее время нахожусь в открытом доступе, но я должен сделать некоторую работу, чтобы убедиться, что мошеннические файлы не просто появляются снова и вызывают проблемы.Если у кого-то есть предложения по этому поводу, не стесняйтесь оставлять комментарии, в противном случае спасибо всем за помощь!Это было очень высоко оценено!

Answer 1

Что касается того, что сайт не имеет страниц, выполняющихся на сервере, XSS абсолютно все еще возможен с использованием атаки на основе DOM.Обычно это относится к выполнению JavaScript, выводящему контент на страницу.Только на прошлой неделе WhiteHat Security обнаружила XSS-уязвимость, обнаруженную на чисто «статической» странице .

Вполне возможно, что вектор атаки связан с доступом на уровне файлов, но я полагаю, что стоит такжепосмотрим, что происходит в JS.

Answer 2

Нет, это невозможно, если у кого-то нет доступа к вашим файлам.Так что в вашем случае кто-то имеет доступ к вашим файлам.

Редактировать: Лучше всего, если вы спросите на serverfault.com, что делать в случае взлома сервера, но:

• измените ваши пароли оболочки
• посмотрите / var / log / messages для попыток входа в систему
• root root
• посмотрите время последнего изменения этих файлов

Существует также высокая вероятность того, что файлы были изменены через http с помощью уязвимости программного компонента, который вы используете вместе со статическими файлами.

Answer 3

Это случилось со мной раньше - это произойдет, если они получат ваши данные ftp.Так что, кто бы это ни делал, очевидно, каким-то образом получил информацию о вашем ftp.

Лучше всего изменить свой пароль и связаться с компанией, предоставляющей услуги веб-хостинга, чтобы найти лучшее решение.не самый безопасный ...

Answer 4

Возможно, вам следует поговорить об этом с вашей хостинговой компанией. Кроме того, убедитесь, что ваши права доступа к файлам не более снисходительны, чем должны быть для вашей конкретной среды.