C'è una nuova tecnica di iniezione Javascript che sta generando chatter nei forum menzionati qui
Ecco il codice di esempio:
String.prototype.code = function(){ return (new Function('with(this) { return ' + this + '}' )).call({}); };
var s = 'alert("hello!");'
s.code();
Quali componenti dell'infrastruttura devono essere aggiornati (se esistono) per monitorare e proteggere da questa classe di exploit?
Ad esempio:
Ho l'impressione che alcuni DBA analizzino i loro database per la prova di un attacco di iniezione ... questo è quasi un approccio di ultima generazione per mitigare un'applicazione mal scritta in un'impresa distribuita.
Quando ho collaborato per la prima volta con Microsoft a un attacco JS Injection, lo sviluppatore in India non ha verificato correttamente l'input del modulo. Ciò ha causato l'ingombro del database dei nostri clienti con codice Javascript eseguito sul client. La risposta di Microsoft è stata la ricerca nel database di stringhe predefinite comunemente utilizzate negli attacchi.
Sto assumendo che ci sono prodotti o sensori che monitorano il traffico SQL o HTTP per ovvi js-malware. Se faccio un passo ulteriore, quei dispositivi devono avere la firma aggiornata per questo vettore.