sabato 10 maggio 2008

Una precisazione al riguardo della presenza di script java su alcuni pagine risultato di ricerca

Una ricerca in rete del termine winzipices, che denota un recente attacco subito da migliaia di siti in tutto il mondo e che redirige su server cinese contenente exploit, porta a questi risultati relativamente a dominio .it

Cliccando su questi links abbiamo il caricamento di una pagina web che, ad esempio, porta al seguente codice.

Queste due schermate evidenziano la presenza nella pagina web del codice java con i riferimenti al sito cinese che hosta malware sotto forma di exploit.

La prima cosa che viene da pensare e' che il sito .it in questione abbia al momento pagine con codici pericolosi inseriti al loro interno

In realta' non e' cosi' , almeno per i links riportati dal motore di ricerca.
Vediamo perche'

Se esaminiamo in dettaglio il link fornito dal motore di ricerca abbiamo questa stringa

dove potete notare, in giallo la presenza per intero del codice dello script a parte ad esempio i caratteri “/” che sono sostituiti dal corrispondente codice numerico .

In pratica richiamando il sito attraverso questa stringa, questo ci ritorna una pagina con codice che corrisponde a quello visto sopra e che presenta all'interno i frammenti di javascript pericoloso in piu' punti del sorgente (sia nel tag Title che Meta)

E' stata quindi, come si vede, sfruttata la possibilita' di inserire all'interno del codice della pagina che visualizziamo, uno script java che in realta' non e' presente originariamente ma il cui codice viene passato dal browser quando interroga il sito come succede nei piu' normali casi di XSS.


Per fare una controprova passiamo al browser questa diversa stringa che e' modificata solo nel nome del sito e del file linkato dallo script passati dal browser. (colore arancio)


Il risultato, interrogando il sito e' una pagina che porta al suo interno, scripts totalmente diversi dagli originari trovati prima e che corrispondono al codice inserito nella stringa (colore arancio)


Se inoltre proviamo ad utilizzare l'addon Web Developper Toolbar di Firefox abbiamo l'ulteriore conferma che viene caricato una script creato per prova e hostato su una pagina di test in Googlepages.

Si vede in questo caso come l'uso di un motore di ricerca che ha indicizzato links cosi' costituiti possa portare ad avere risultati alquanto insoliti ma anche pericolosi se gli script inseriti dovessero essere attivi.
In effetti la presenza di uno script nelle linee di codice T I T L E e M E T A della pagina non dovrebbe portare all'eseczione degli stessi ma pare che , come riporta trend micro nel suo blog:

“.. While neither t a g s are supposed to support , some browsers are prone to syntax errors. They interpret any script tags wherever they are placed. ....”

confermando che potrebbe esserci in alcuni casi una esecuzione dello script e reindirizzamento su sito malware.


Edgar

Nessun commento: