就在五分钟前,我通过 Yahoo! 进行了一次注入攻击!信使。唯一可见的效果是我的状态消息的变化。我还收到一条对话框消息,说脚本无法继续运行,因为字符串没有终止,或者类似的东西;当我在指定路径查找脚本时,我找不到它。
攻击是如何执行的:弹出一个与我不认识的人的对话窗口;它显示了一个扭曲的框,当其他人向您发送文件时出现的那种框(只是没有要保存的文件)。(盒子被扭曲了,好像客户端在渲染它时遇到了问题。)
我尝试保存对话(以查看发送的文本),但它是空的。我还没有重新启动我的电脑。我有机会看到寄给我的东西吗?
更新
我搜索了攻击所通过的 id,发现它与一个网站有关联,该网站有一个用于更改任何人的状态消息的公共表单:你所要做的就是输入他们的 id,状态消息,你就完成了。(我认为我不应该提及它是什么网站。)
我使用该表格向自己发送攻击,以便我可以使用网络分析器捕获它们。该漏洞是通过格式错误的文件传输请求发送的。我还发送了一个普通的 FTR 来比较,看看这个漏洞有什么不同。其中,FTR 包含以下信息:
(a)被发送文件的名称
(b)字节大小
(c)哈希可能用于检查传输是否成功
该漏洞利用没有文件名,文件大小大概是 4128 字节(但没有您可以实际下载的文件)。哈希值更有趣一些。在普通的 FTR 中,散列看起来像任何其他的(字符串);漏洞利用 FTR 有这个哈希:
'<form><iframe onload=\"SetCustomStatus('mystatus');\"></iframe></form>
该SetCustomStatus函数来自YM SDK。这似乎是全部,所以可能没有造成任何真正的伤害。知道他们是如何获得 Yahoo! 的会很有趣。发送该 JavaScript 代码而不是普通哈希。
无论如何,我会向 Yahoo! 报告该网站。(编辑:除了我似乎找不到报告的地方......>:()