prove di attacco XSS?

2

Abbiamo un cliente che fa affari con questa società e di recente abbiamo notato che i nostri Barracuda bloccano i loro messaggi di posta elettronica basati su Intent Analysis. Ulteriori indagini hanno dimostrato che ciò era dovuto a un URL incorporato nella loro home page. (La loro home page è collegata nella loro firma.) Non sono riuscito a trovare l'URL da nessuna parte sul sito, quindi ho ispezionato il codice HTML. Questo è quello che ho trovato.

EccocosahoraccoltoconleconoscenzelimitatechehosuJavascripteHTML.

  • Questocodiceèstatoaggiuntoallafinedelfilehtml.
  • Nonsitrattadiannuncigoogle,sitrattadiuncollegamentoipertestualestatico.
  • C'èJavaScriptchechiamal'elementoHTMLincollandoinsiemeunastringaeunapiccolaaggiunta.Bandierarossa.
  • IlcodiceJavaScriptstadicendodiesserenascostodalclientincollando"no" + "ne" insieme. Bandiera rossa .

Per me, questo sembra un persistente attacco XSS. Forse uno stratagemma per generare entrate pubblicitarie? Sto pensando che la stringa divertente sia quella di evitare il rilevamento dei pattern.

L'ho inviato al loro dipartimento IT. (Non sono sicuro che saranno in grado di risolverlo.)

Qualche informazione su questo?

EDIT: trovato alcuni script in più all'inizio del file. In realtà questo ha cambiato il titolo del dominio nei motori di ricerca.

    
posta w21froster 10.02.2017 - 23:38
fonte

1 risposta

1

Il primo bit di codice mostra un link spam e poi alcuni JS per nasconderlo, quindi darà al sito spam una spinta SEO restando invisibile all'amministratore (per quanto ne so i motori di ricerca non interpretano ancora JS , quindi ai loro occhi questo link è sempre visibile).

Il secondo link reindirizza completamente l'utente a un sito Web di spam nel caso in cui provenga da un motore di ricerca, in base al suo referente. Un utente che raggiunge direttamente la pagina (come l'amministratore) non verrà reindirizzato e non lo noterà. Sembrano avere come target le versioni giapponesi di quei motori di ricerca che forniscono un indizio su dove ha origine il malware (o chi ha pagato per inserire quei link spam lì).

Scommetto che i buoni soldi stanno usando un CMS orribile e sono stati compromessi. Semplice come quello.

    
risposta data 11.02.2017 - 01:48
fonte

Leggi altre domande sui tag