我们有一个相对受欢迎的网站,最近我们开始看到一些奇怪的 URL 在我们的日志中弹出。我们的页面引用了 jQuery,我们开始看到这些脚本的片段被插入到 URL 中。所以我们有这样的日志条目:
/js/,data:c,complete:function(a,b,c){c=a.responseText,a.isResolved()&&(a.done(function(a){c=a}),i.html(g?d(
请求的用户代理字符串是 Java/1.6.0_06,所以我认为我们可以安全地假设它是一个可能用 Java 编写的机器人。另外,我可以在 jQuery 文件中找回那段附加代码。
现在,我的问题是为什么机器人会尝试将引用的 Javascript 插入 URL?
最佳答案
它可能不是专门针对您的网站——它可能是一种猎枪式尝试,旨在寻找支持 XSS 的网站,以便攻击者稍后可以找出可窃取的内容并设计攻击并编写网页以对其进行部署真实用户。
在这种情况下,攻击者可能会使用机器人从站点收集 HTML,然后将该 HTML 传递给在僵尸计算机上运行的 IE 实例,以查看输出了哪些消息。
我在这里没有看到任何有效负载,所以我假设您在这里 chop 了一些代码,但它看起来像是 JSCompiled jQuery 代码,可能使用了 jQuery 的 postMessage 所以它可能是对您的 XSS 的尝试窃取用户数据或凭据、安装 JavaScript 键盘记录器等的代码。
我会 grep 遍历你的 JavaScript,寻找执行类似操作的代码
eval(location.substring(...));
或任何使用正则表达式或子字符串调用来获取部分 location 并使用 eval 或 new Function 来解压它的东西。
关于注入(inject) URL 的 Javascript,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9312621/