Hay una nueva técnica de inyección de Javascript que genera chatter en los foros mencionados aquí
Aquí está el ejemplo del código:
String.prototype.code = function(){ return (new Function('with(this) { return ' + this + '}' )).call({}); };
var s = 'alert("hello!");'
s.code();
¿Qué componentes de infraestructura deben actualizarse (si los hay) para monitorear y proteger de esta clase de explotación?
Por ejemplo:
Tengo la impresión de que algunos administradores de bases de datos analizan sus bases de datos en busca de pruebas de un ataque de inyección ... esto es casi un enfoque de última instancia para mitigar una aplicación mal escrita en una empresa distribuida.
La última vez que trabajé con Microsoft en un ataque de Inyección JS, el desarrollador en India no verificó correctamente la entrada del formulario. Esto causó que la base de datos de nuestro cliente estuviera llena de código Javascript que se ejecutaba en el cliente. La respuesta de Microsoft fue buscar en la base de datos las cadenas predefinidas que se usan comúnmente en los ataques.
Estoy asumiendo que hay productos o sensores que monitorean el tráfico de SQL o HTTP para detectar malware obvio en js. Si doy un paso más en mi suposición, esos dispositivos deben tener la firma actualizada para este vector.