我们有一个相对受欢迎的网站,最近我们开始在我们的日志中看到一些奇怪的URL弹出。我们的页面引用了jQuery,我们开始看到这些脚本的部分被插入到URL中。所以我们有这样的记录条目:
/js/,data:c,complete:function(a,b,c){c=a.responseText,a.isResolved()&&(a.done(function(a){c=a}),i.html(g?d(
请求的用户代理字符串是Java/1.6.0_06,所以我认为我们可以放心地认为它是一个可能用Java编写的机器人。另外,我可以在jQuery文件中找到附加代码。
现在,我的问题是为什么机器人会尝试将引用的Javascript插入到网址中?
答案 0 :(得分:8)
它可能不是专门针对您的网站 - 它可能是一个猎枪尝试找到具有XSS功能的网站,以便攻击者以后可以弄清楚什么是可盗取的并制作攻击并编写网页来部署它真正的用户。
在这种情况下,攻击者可能会使用僵尸程序从站点收集HTML,然后将该HTML传递给在僵尸计算机上运行的IE实例,以查看哪些消息可以获取。
我没有在这里看到任何活动的有效负载,所以我假设你在这里截断了一些代码,但它看起来像JSCompiled jQuery代码,可能使用jQuery的postMessage所以它可能是尝试XSS你的代码exfiltrate用户数据或凭据,安装JavaScript键盘记录器等
我会通过你的JavaScript来寻找代码类似
的代码eval(location.substring(...));
或使用正则表达式或子字符串调用来抓取部分location并使用eval或new Function解压缩的内容。
答案 1 :(得分:3)
检查跨站点脚本漏洞,可能。
如果机器人检测到注射成功,则可能会注入危险代码(例如窃取用户密码或将其重定向到恶意网站)。