Attacco che utilizza caratteri strani seguiti da alcuni javascript in un URL?

2

Stamattina vedo un attacco molto strano da una pila di istanze VPS distribuite negli Stati Uniti. Gli URL hanno questo aspetto:

  • /js/bundles/,!0):this.element.propAttr(
  • /js/bundles/&this.buttons.button(
  • /js/bundles/),this===i&n(this).addClass(
  • /js/bundles/)&!t.input.is(
  • /js/bundles/&(f=i.end-i.start==0?0:(i.now-i.start)/(i.end-i.start));t.toShow[0].style[i.prop]=f*u[i.prop].value+u[i.prop].unit},duration:t.duration,easing:t.easing,complete:function(){t.autoHeight||t.toShow.css(

Che diamine ci sono che ,!0): e & dovrebbero fare? Non riesco a immaginare che ciò possa dire qualcosa di efficacemente dannoso per un server, a meno che non si stia sfruttando un bug del server egregio o che la vittima non sia affatto il server.

Sembra che ci siano molti ambienti per questi robot: alcuni sono XP, alcuni sono Vista, altri Windows 7. Ho visto IE7, 8 e 9, oltre a Chrome e Safari. Ho persino visto un telefono LG che diceva che era in esecuzione Windows NT 5.1 e IE8. Nessuno di loro ha alcun URL di referrer, quindi non riesco a capire quale pagina hanno precedentemente visualizzato sul nostro sito.

( /js/bundles è dove conserviamo le nostre risorse in bundle, comunque).

La mia domanda è: qualcuno sa cosa (server, browser, ecc.) questi attacchi sono destinati a sfruttare? Sembrano essere tentativi di exploit XSS, ma non sono molto ben formati. ASP.NET sembra catturarli, quindi non sono troppo preoccupato.

(Un'altra possibilità è che sono solo un ragno davvero buggy che fa il suo dovere.)

    
posta Paul d'Aoust 26.11.2014 - 19:25
fonte

2 risposte

2

Quegli URL assomigliano molto a un crawler buggy e sono molto simili a un tentativo di exploit.

Un collegamento ipertestuale correttamente formattato inizierà qualcosa come <a href="some-url"> . La parte interessante è ciò che è tra i " caratteri. Un codificatore pigro potrebbe solo cercare coppie di caratteri " e non prestare attenzione al contesto.

A seconda della struttura dell'URL, potrebbe essere un URL assoluto o relativo. Ho visto molti esempi di crawler che utilizzano erroneamente un URL assoluto come se fosse un URL relativo. Questo è un altro esempio di come potrebbero essere errati gli URL, anche se non sono sicuro che quella parte si applichi al tuo caso.

Se /js/bundles/ conteneva un collegamento simile a <a href=",!0):this.element.propAttr("> , potrebbe essere interpretato come un collegamento relativo che punta a /js/bundles/,!0):this.element.propAttr( . Ovviamente il file non conteneva un link che sembrava esattamente così, ma poteva contenere la sottostringa ",!0):this.element.propAttr(" , e ad un crawler pigro che cercava solo " caratteri quei due sarebbero uguali.

Per ognuno dei frammenti di codice nel tuo esempio puoi chiedertelo, è realistico che questo sarebbe stato trovato in un contesto in cui era circondato da " caratteri. Penso che sia.

Il motivo per cui penso che assomigli molto a un tentativo di exploit è che quei frammenti di codice non possono essere eseguiti da soli. Se dovessi effettivamente provare a eseguire quel codice, avresti errori di sintassi perché mancavano parti. I tentativi di exploit effettivi di solito contengono parti di codice, ma contengono abbastanza codice che il codice potrebbe effettivamente eseguire.

    
risposta data 26.04.2015 - 02:20
fonte
0

Considerando che si tratta di risorse statiche, non penso che si tratti di attacchi. Non ho idea di cosa potrebbe essere ... questo suggerimento non ha senso, ma forse una sintassi casuale di parametri che impediscono il caching del lato server. Forse alcuni crawler lo usano. È strano perché non richiede nemmeno file specifici nella directory.

Modifica:

Forse sono attacchi mirati a un server node.js. Questi sono scritti in javascript ..?

    
risposta data 26.11.2014 - 22:03
fonte

Leggi altre domande sui tag