¿Cufon o Prototipo como un vector de ataque para el kit de exploits Blackhole?

5

Se me pidió que examinara la seguridad de un sitio cliente que aparentemente está lanzando mensajes antivirales cuando se los visita.

Específicos:

  1. Se está detectando como un kit de exploits Blackhole dentro de una fuente Cufon.
  2. El exploit agrega un poco de JavaScript con la intención de cargar más Javascript desde una URL externa (actualmente está inactivo, por lo que no hay manera de seguir analizándolo)
  3. La página parece ser HTML plano, sin ningún código del lado del servidor. Esto descarta una gran cantidad de vectores de ataque.
  4. El único otro Javascript en la página es cufon.js, prototype.js y Google Analytics.

A ese fin:

  1. ¿Es posible usar Cufon.js o Prototype.js para escribir en el sistema de archivos del servidor, y finalmente usar esos scripts como un vector de ataque para Blackhole?

  2. Si no, ¿existen otras posibilidades además de las vulnerabilidades a nivel del servidor (contraseñas SSH / FTP, configuración insegura del servidor, etc.), tal vez con la excepción del diseñador que utiliza una fuente pirateada comprometida?

¡Muchas gracias!

    
pregunta aendrew 02.11.2012 - 11:37
fuente

1 respuesta

1

Como JavaScript se ejecuta en el lado del cliente, no puede usarlo para escribir en el sistema de archivos del servidor a menos que el sistema de archivos / servidor ya esté comprometido. En otras palabras, el atacante ya incluyó, por ejemplo, un script PHP que responderá a los comandos de JavaScript y los ejecutará en el lado del servidor.

Su primer paso ahora es escanear el servidor en busca de dichos archivos dinámicos. Tenga en cuenta que también hay otras herramientas como enlace y muchas otras muchas que el atacante podría instalar para realizar ataques adicionales.

Habiendo hecho lo anterior, y limpiando el archivo de fuente Cufon, supongo que estarás bastante seguro.

Recomendación final. Use este asombroso escáner de seguridad: enlace

¡Salud!

    
respondido por el Mario Awad 06.11.2012 - 14:19
fuente

Lea otras preguntas en las etiquetas