Solo cinque minuti fa ho avuto un attacco per iniezione tramite Yahoo! Messaggero. L'unico effetto visibile è stato il cambio del mio messaggio di stato. Ho anche ricevuto un messaggio di dialogo che diceva che uno script non può continuare a essere eseguito perché la stringa non è stata terminata, o qualcosa del genere; quando ho cercato lo script nel percorso specificato non sono riuscito a trovarlo.
Come è stato eseguito l'attacco: una finestra di conversazione con qualcuno che non sapevo comparire; mostra una scatola distorta, il tipo che appare quando l'altra persona ti sta inviando un file (solo che non c'era alcun file da salvare). (La scatola era distorta come se il client avesse problemi nel renderlo.)
Ho provato a salvare la conversazione (per vedere il testo inviato), ma era vuota. Non ho riavviato il mio computer. Qualche possibilità di vedere cosa mi è stato inviato?
Aggiornamento
Ho cercato l'id attraverso cui è arrivato l'attacco e ho scoperto che è affiliato a un sito che ha una forma pubblica per cambiare il messaggio di stato di una persona: tutto ciò che devi fare è inserire il loro id, il messaggio di stato e sei fatto. (Non penso di dover menzionare quale sito è.)
Ho usato il modulo per inviare attacchi a me stesso in modo da poterli acquisire con un analizzatore di rete. L'exploit è stato inviato tramite una richiesta di trasferimento file non valida. Ho anche inviato un FTR normale per confrontare e vedere cosa c'è di diverso nell'exploit. Tra gli altri, un FTR contiene le seguenti informazioni:
(a) nome del file che viene inviato
(b) dimensione in byte
(c) hash probabilmente usato per verificare se il trasferimento è riuscito
L'exploit non aveva il nome del file e presumibilmente la dimensione del file è 4128 byte (ma non è possibile scaricare alcun file). L'hash è un po 'più interessante. In un normale FTR, l'hash appare come qualsiasi altro (una stringa di caratteri); l'exploit FTR aveva questo per un hash:
'<form><iframe onload=\"SetCustomStatus('mystatus');\"></iframe></form>
La funzione SetCustomStatus
proviene da YM SDK . Questo sembra essere tutto, quindi probabilmente non c'è stato alcun danno reale. Sarebbe interessante sapere come hanno ottenuto Yahoo! per inviare quel codice JavaScript al posto di un normale hash.
Comunque, riferirò il sito a Yahoo !. ( Modifica: eccetto che non riesco a trovare dove segnalarlo ... > :()