¿Ataca con caracteres extraños seguidos de algún javascript en una URL?

2

Estoy viendo un ataque muy extraño esta mañana desde un montón de instancias de VPS repartidas por todo Estados Unidos. Las URL se ven así:

  • /js/bundles/,!0):this.element.propAttr(
  • /js/bundles/&this.buttons.button(
  • /js/bundles/),this===i&n(this).addClass(
  • /js/bundles/)&!t.input.is(
  • /js/bundles/&(f=i.end-i.start==0?0:(i.now-i.start)/(i.end-i.start));t.toShow[0].style[i.prop]=f*u[i.prop].value+u[i.prop].unit},duration:t.duration,easing:t.easing,complete:function(){t.autoHeight||t.toShow.css(

¿Qué demonios se supone que deben hacer ,!0): y & ? No puedo imaginar que eso diría algo realmente malicioso para un servidor, a menos que se esté explotando algún error grave del servidor o la víctima no sea el servidor.

Parece que hay una gran variedad de entornos para estos bots, algunos de ellos son XP, algunos son Vista, otros son Windows 7. He visto IE7, 8 y 9, así como Chrome y Safari. Incluso vi un teléfono con funciones LG que decía que estaba ejecutando Windows NT 5.1 e IE8. Ninguno de ellos tiene ninguna URL de referencia, por lo que no puedo averiguar qué página vieron anteriormente en nuestro sitio.

( /js/bundles es donde mantenemos nuestros activos agrupados, por cierto).

Mi pregunta es: ¿alguien sabe qué (servidores, navegadores, etc.) pretenden explotar estos ataques? Parece que son intentos de explotar XSS, pero no están muy bien formados. Sin embargo, ASP.NET parece estar atrapándolos, así que no estoy muy preocupado.

(Otra posibilidad es que son solo una araña realmente con errores haciendo sus cosas).

    
pregunta Paul d'Aoust 26.11.2014 - 19:25
fuente

2 respuestas

2

Esas URL se parecen mucho a un rastreador de errores y muy poco a un intento de explotación.

Un hipervínculo correctamente formateado comenzará algo como <a href="some-url"> . La parte interesante es qué hay entre los caracteres " . Un codificador perezoso podría buscar pares de caracteres " y no prestar atención al contexto en absoluto.

Dependiendo de la estructura de la URL, puede ser una URL absoluta o relativa. He visto muchos ejemplos de rastreadores que utilizan incorrectamente una URL absoluta como si fuera una URL relativa. Ese es otro ejemplo de cómo pueden equivocarse con las URL, aunque no estoy seguro de que esa parte se aplique a su caso.

Si /js/bundles/ contiene un enlace que parece <a href=",!0):this.element.propAttr("> , eso podría interpretarse como un enlace relativo que apunta a /js/bundles/,!0):this.element.propAttr( . Por supuesto, el archivo no contenía un enlace exactamente igual a ese, pero puede haber contenido la cadena secundaria ",!0):this.element.propAttr(" , y para un rastreador vago que solo busca " caracteres, esos dos serían iguales.

Para cada uno de los fragmentos de código en su ejemplo, puede preguntarse, ¿es realista que esto se hubiera encontrado en un contexto en el que estaba rodeado por " chars? Creo que es.

La razón por la que creo que se parece muy poco a un intento de explotación es que esos fragmentos de código no se pudieron ejecutar por sí solos. Si realmente intentara ejecutar ese código, obtendría errores de sintaxis porque faltaban partes. Los intentos de explotación reales generalmente contienen algún fragmento de código, pero contienen suficiente código que el código podría ejecutar realmente.

    
respondido por el kasperd 26.04.2015 - 02:20
fuente
0

Teniendo en cuenta que estos son recursos estáticos, no creo que sean ataques. No tengo ni idea de lo que podría ser ... esta sugerencia no tiene sentido, pero quizás una sintaxis aleatoria de los parámetros que impiden el almacenamiento en caché del lado del servidor. Tal vez ciertos rastreadores usan esto. Es raro porque ni siquiera está solicitando archivos específicos en el directorio que parece.

Editar:

Tal vez sean ataques dirigidos a un servidor node.js. Estos están escritos en javascript ..?

    
respondido por el Pim de Witte 26.11.2014 - 22:03
fuente

Lea otras preguntas en las etiquetas