¿Evidencia de ataque XSS?

Navega tus respuestas
2

Tenemos un cliente que hace negocios con esta empresa y recientemente notamos que nuestro Barracuda bloqueaba sus correos electrónicos basados en el análisis de intención. Investigaciones posteriores demostraron que se debía a una URL incrustada en su página de inicio. (Su página de inicio está vinculada en su firma). No pude encontrar la URL en ninguna parte del sitio, por lo que inspeccioné el código HTML. Esto es lo que encontré.

EstoesloquereuníconelconocimientolimitadoquetengosobreJavascriptyHTML.

  • Estecódigoseagregóalfinaldelarchivohtml.
  • NosonanunciosdeGoogle,esunhipervínculoestático.
  • HayunJavaScriptquellamaalelementoHTMLalpegarunacadenajuntoconunapequeñaadición.Banderaroja.
  • ElJavaScriptleindicaqueseocultedelclientepegando"no" + "ne". Bandera roja .

Para mí, esto parece un ataque XSS persistente. Tal vez una estratagema para generar ingresos por publicidad? Estoy pensando que lo divertido es evitar la detección de patrones.

Lo envié a su departamento de TI. (No estoy seguro de si podrán solucionar este problema).

¿Alguna idea sobre esto?

EDITAR: Encontré algunos scripts más al principio del archivo. Esto realmente cambió el título del dominio en los motores de búsqueda.

    
pregunta w21froster 10.02.2017 - 23:38
fuente

1 respuesta

1

El primer bit de código muestra un enlace de correo no deseado y luego algunos JS para ocultarlo, por lo que le dará al sitio de spam un impulso de SEO mientras permanece invisible para el administrador (hasta donde sé, los motores de búsqueda aún no interpretan JS , por lo que a sus ojos este enlace es siempre visible).

El segundo enlace redirige completamente al usuario a un sitio web de spam en el caso de que provenga de un motor de búsqueda, en función de su referente. Un usuario que llegue a la página directamente (como el administrador) no será redirigido y no notará esto. Parece que están dirigidos a las versiones japonesas de esos motores de búsqueda, lo que da una idea de dónde se originó el malware (o quién pagó los enlaces de spam que se colocarán allí).

Apostaría mucho dinero porque están usando un CMS horrible y se pusieron en peligro. Tan simple como eso.

    
respondido por el André Borie 11.02.2017 - 01:48
fuente

Lea otras preguntas en las etiquetas

XSS reflejado a través de JSON ejecutado con Burp, pero ¿cómo hacerlo en condiciones realistas? Métodos de verificación de IDP en el inicio de sesión iniciado por IDL de SAML2