Cufon 或 Prototype 作为 Blackhole 漏洞利用工具包的攻击媒介?

信息安全 攻击 恶意软件 javascript 事件响应 攻击向量
2021-09-01 08:12:28

我被要求调查一个客户网站的安全性,该网站在访问时显然会抛出抗病毒信息。

规格:

  1. 它被检测为 Cufon 字体内的 Blackhole 漏洞利用工具包。
  2. 该漏洞利用添加了一些 Javascript,旨在从非站点 URL 加载更多 Javascript(当前已关闭,因此无法进一步分析。)
  3. 该页面似乎是纯 HTML —— 根本没有服务器端代码。这排除了相当多的攻击向量。
  4. 页面上唯一的其他 Javascript 是 cufon.js、prototype.js 和 Google Analytics。

为此:

  1. 是否有可能使用 Cufon.js 或 Prototype.js 写入服务器的文件系统,最终将这些脚本用作 Blackhole 的攻击媒介?

  2. 如果没有,除了服务器级别的漏洞(SSH/FTP 密码、不安全的服务器配置等)之外,是否还有其他可能性,可能除了设计师使用受损的盗版字体之外?

非常感谢!

1个回答

由于 JavaScript 在客户端运行,因此您不能使用它来写入服务器的文件系统,除非文件系统/服务器已经受到威胁。换句话说,攻击者已经包含了一个 PHP 脚本,该脚本将响应 JavaScript 命令并在服务器端执行它们。

您现在的第一步是扫描服务器以查找任何此类动态文件。请注意,还有其他工具,例如http://nodejs.org/和许多其他工具,攻击者可能会安装这些工具来进行额外的攻击。

完成上述操作并清理 Cufon 字体文件后,我想你会很安全。

最后推荐。使用这个很棒的安全扫描器:http ://sitecheck.sucuri.net/scanner/

干杯!

其它你可能感兴趣的问题
上一篇端口 3387 上的连接事件查看器显示“已授权” 下一篇鉴于最近有关 RarVM 的信息,我们还能信任 RAR 文件吗?