Tho*_*mas 9 javascript security http code-injection
我们有一个比较受欢迎的网站,最近我们开始在我们的日志中看到一些奇怪的URL弹出.我们的页面引用了jQuery,我们开始看到这些脚本的部分被插入到URL中.所以我们有这样的记录条目:
/js/,data:c,complete:function(a,b,c){c=a.responseText,a.isResolved()&&(a.done(function(a){c=a}),i.html(g?d(
请求的用户代理字符串是Java/1.6.0_06,所以我认为我们可以放心地假设它是一个可能用Java编写的机器人.另外,我可以在jQuery文件中找回附加代码.
现在,我的问题是为什么机器人会尝试将引用的Javascript插入到URL中?
它可能不是专门针对您的站点 - 它可能是一个霰弹枪尝试找到具有XSS功能的站点,以便攻击者以后可以找出什么是可窃取的并制作攻击并编写网页以针对真实用户进行部署.
在这种情况下,攻击者可能会使用僵尸程序从站点收集HTML,然后将该HTML传递给在僵尸计算机上运行的IE实例,以查看哪些消息可以获取.
我没有在这里看到任何有效的有效负载所以我假设你在这里截断了一些代码,但它看起来像JSCompiled jQuery代码可能使用jQuery postMessage所以它可能是尝试XSS你的代码来泄露用户数据或凭据,安装JavaScript键盘记录等
我会通过你的JavaScript寻找代码来做类似的事情
eval(location.substring(...));
或任何使用正则表达式或子字符串调用来抓取部分内容location并使用eval或new Function解压缩它的东西.