Javascript введен в URL - PullRequest
       26

Javascript введен в URL

9 голосов
/ 16 февраля 2012

У нас есть относительно популярный веб-сайт, и недавно мы стали замечать некоторые странные URL-адреса в наших журналах. Наши страницы ссылаются на jQuery, и мы начали видеть фрагменты этих скриптов, вставляемые в URL. Таким образом, у нас есть записи в журнале, как это:

    /js/,data:c,complete:function(a,b,c){c=a.responseText,a.isResolved()&&(a.done(function(a){c=a}),i.html(g?d(

Строка User Agent в запросе Java/1.6.0_06, поэтому я думаю, что мы можем смело предположить, что это бот, который, вероятно, написан на Java. Кроме того, я могу найти часть добавленного кода в файле jQuery.

Теперь мой вопрос , почему бот попытался бы вставить ссылочный Javascript в URL?

Ответы [ 2 ]

8 голосов
/ 16 февраля 2012

Возможно, он не предназначен специально для вашего сайта - это может быть попытка дробовика найти сайты, поддерживающие XSS, чтобы впоследствии злоумышленник мог выяснить, что можно украсть, создать атаку и написать веб-страницу для ее развертывания.настоящие пользователи.

В этом случае злоумышленник может использовать ботов для сбора HTML-кода с сайтов, а затем передать этот HTML-код экземплярам IE, работающим на компьютерах-зомби, чтобы посмотреть, какие сообщения выходят.

Я не вижу активной полезной нагрузки здесь, поэтому я предполагаю, что вы урезали некоторый код здесь, но он выглядит как скомпилированный код jQuery, который, вероятно, использует jQuery postMessage, так что это, вероятно, попытка XSS вашего кода для эксфильтрации пользовательских данных или учетных данныхустановить кейлоггер JavaScript и т. д.

Я бы просмотрел ваш JavaScript в поисках кода, который делает что-то вроде

eval(location.substring(...));

или чего-либо, что использует вызов регулярного выражения или подстроки для захвата части location и использует eval или new Function для распаковки.

3 голосов
/ 16 февраля 2012

Проверка на наличие уязвимостей межсайтового скриптинга, возможно.

Если бот обнаружит успешную инъекцию, он может ввести опасный код (например, украсть пароли ваших пользователей или перенаправить их на вредоносные сайты).

...