Il mio obiettivo:
La mia speranza è di catturare pagine e contenuti che potrebbero essere contrassegnati da Navigazione sicura di Google o altri simili, eccetto quelli più proattivi di quelli in attesa di una scansione da parte di Google o aggiunti a una lista nera.
Domanda di base:
Esiste una risorsa di cui sei a conoscenza per gli indicatori di compromissione sui siti compromessi?
Il mio scenario:
Stiamo sviluppando un CMS interno per ospitare siti Web molto simili per molti clienti esistenti su una piattaforma precedente. Uno dei requisiti aziendali per la piattaforma Web è che i gestori di contenuti devono poter aggiungere JavaScript per funzionalità aggiuntive. Fondamentalmente quello che sto cercando è un modo per controllare e assicurarsi che un gestore di contenuti web non lo sia, con intenzioni malevole o accidentalmente usando una biblioteca contaminata, pubblicando JavaScript o malware dannosi sul loro sito web che ospitiamo.
Ho strumenti per fare analisi dinamiche sui siti che a loro volta eseguono analisi statiche su JavaScript, ma sono principalmente preoccupati per DOM XSS e vulnerabilità invece di cercare siti compromessi. Posso scrivere io stesso il controllo di sicurezza e integrarlo con un hook sul CMS. Avrei solo bisogno di una quantità significativa di dati o di esempi di compromessi che non dipendano dal CMS (WordPress, Joomla, Drupal specifico). Ad esempio, probabilmente non è necessario che il gestore dei contenuti di un sito faccia riferimento a un cookie in JavaScript con document.cookie, ma se lo fa vorrei verificare come lo stanno usando. Utilizziamo ClamAV per impedire il caricamento di software dannoso, ma non sarà in grado di dire se eseguono un reindirizzamento (con window.location per esempio) per indicare il sito di un utente malintenzionato che ospita software dannoso. Uno strumento sarebbe bello, ma alla fine non mi interessa scrivere il mio strumento per collegarmi a un contenuto e analizzare il contenuto per l'analisi statica. Per un'analisi più efficace, tuttavia, avrei bisogno di una buona risorsa con molti esempi specifici di pagine o siti compromessi, in modo da poter scrivere i controlli di sicurezza. Penso di poter utilizzare l'API di Navigazione sicura di Google anche per fare un controllo simile, tranne dopo che il sito è stato contrassegnato in modo che possiamo avvisare l'utente e assistere alla pulizia.
Altre riflessioni:
Sto facendo girare le ruote qui cercando di essere più proattivo? Forse la scelta migliore sarebbe monitorare se un sito è in una o più liste nere di siti compromessi e intervenire dopo.