Cufon o Prototype come vettore di attacco per il kit di exploit Blackhole?

5

Mi è stato chiesto di esaminare la sicurezza di un sito client che apparentemente genera messaggi antivirali quando viene visitato.

Specifiche:

  1. Viene rilevato come kit di exploit Blackhole all'interno di un font Cufon.
  2. L'exploit aggiunge alcuni Javascript che intendono caricare più Javascript da un URL fuori sito (attualmente inattivo, quindi non c'è modo di analizzare ulteriormente.)
  3. La pagina sembra essere HTML piatto - nessun codice sul lato server. Questo esclude un buon numero di vettori di attacco.
  4. L'unico altro Javascript sulla pagina è cufon.js, prototype.js e Google Analytics.

A tal fine:

  1. È possibile utilizzare Cufon.js o Prototype.js per scrivere sul filesystem del server, utilizzando in ultima analisi tali script come vettore di attacco per Blackhole?

  2. In caso contrario, esistono altre possibilità oltre alle vulnerabilità a livello di server (password SSH / FTP, configurazione del server non sicura, ecc.), con forse l'eccezione del progettista che utilizza un carattere piratato compromesso?

Grazie mille!

    
posta aendrew 02.11.2012 - 11:37
fonte

1 risposta

1

Poiché JavaScript viene eseguito sul lato client, non è possibile utilizzarlo per scrivere sul filesystem del server, a meno che il filesystem / server non sia già stato compromesso. In altre parole, l'utente malintenzionato includeva già, ad esempio, uno script PHP che risponderà ai comandi JavaScript e li eseguirà sul lato server.

Il primo passo ora è eseguire la scansione del server per tutti questi file dinamici. Tieni presente che esistono anche altri strumenti come link e molti altri che l'autore dell'attacco può installare per condurre attacchi aggiuntivi.

Avendo fatto quanto sopra e ripulendo il file di font Cufon, immagino che sarai abbastanza sicuro.

Raccomandazione finale. Utilizza questo fantastico scanner di sicurezza: link

Cheers!

    
risposta data 06.11.2012 - 14:19
fonte