Mi è stato chiesto di esaminare la sicurezza di un sito client che apparentemente genera messaggi antivirali quando viene visitato.
Specifiche:
- Viene rilevato come kit di exploit Blackhole all'interno di un font Cufon.
- L'exploit aggiunge alcuni Javascript che intendono caricare più Javascript da un URL fuori sito (attualmente inattivo, quindi non c'è modo di analizzare ulteriormente.)
- La pagina sembra essere HTML piatto - nessun codice sul lato server. Questo esclude un buon numero di vettori di attacco.
- L'unico altro Javascript sulla pagina è cufon.js, prototype.js e Google Analytics.
A tal fine:
-
È possibile utilizzare Cufon.js o Prototype.js per scrivere sul filesystem del server, utilizzando in ultima analisi tali script come vettore di attacco per Blackhole?
-
In caso contrario, esistono altre possibilità oltre alle vulnerabilità a livello di server (password SSH / FTP, configurazione del server non sicura, ecc.), con forse l'eccezione del progettista che utilizza un carattere piratato compromesso?
Grazie mille!