Hace solo cinco minutos tuve un ataque de inyección a través de Yahoo! Mensajero. El único efecto visible fue el cambio de mi mensaje de estado. También recibí un mensaje de diálogo que dice que una secuencia de comandos no puede continuar ejecutándose porque la cadena no se terminó, o algo así; cuando busqué el script en la ruta especificada no lo encontré.
Cómo se ejecutó el ataque: apareció una ventana de conversación con alguien que no conocía; mostraba un cuadro distorsionado, el tipo que aparece cuando la otra persona le está enviando un archivo (solo que no había ningún archivo para guardar). (El cuadro estaba distorsionado como si el cliente tuviera problemas para representarlo).
Intenté guardar la conversación (para ver el texto que se envió), pero estaba vacía. No he reiniciado mi computadora. ¿Alguna posibilidad de que pudiera ver lo que me enviaron?
Actualizar
Busqué la identificación a través de la cual vino el ataque y descubrí que está afiliada a un sitio que tiene una forma pública para cambiar el mensaje de estado de cualquier persona: todo lo que tiene que hacer es poner su identificación, el mensaje de estado y usted hecho. (No creo que deba mencionar qué sitio es).
Usé el formulario para enviar ataques a mí mismo para poder capturarlos con un analizador de red. El exploit fue enviado a través de una solicitud de transferencia de archivos con formato incorrecto. También envié un FTR normal para comparar y ver qué hay de diferente en el exploit. Entre otros, un FTR contiene la siguiente información:
(a) nombre del archivo que se envía
(b) tamaño en bytes
(c) hash probablemente se usa para verificar si la transferencia se realizó correctamente
El exploit no tenía nombre de archivo, y presumiblemente el tamaño del archivo es de 4128 bytes (pero no hay ningún archivo que puedas descargar). El hash es algo más interesante. En un FTR normal, el hash se parece a cualquier otro (una cadena de caracteres); el exploit FTR tenía esto para un hash:
'<form><iframe onload=\"SetCustomStatus('mystatus');\"></iframe></form>
La función SetCustomStatus
es del YM SDK . Esto parece ser todo, por lo que probablemente no se hizo ningún daño real. Sería interesante saber cómo consiguieron Yahoo! para enviar ese código JavaScript en lugar de un hash normal.
De todos modos, reportaré el sitio a Yahoo !. ( Editar: Excepto que no puedo encontrar dónde reportarlo ... > :()