Javascriptが私たちは、比較的人気のウェブサイトを持っているURL

Question

に注入し、そして最近では、我々はいくつかの奇妙なURLのは、私たちのログにポップアップを見始めました。私たちのページはjQueryを参照しており、それらのスクリプトがURLに挿入されるのを見始めました。だから我々はこのようなエントリをログに記録している：

/js/,data:c,complete:function(a,b,c){c=a.responseText,a.isResolved()&&(a.done(function(a){c=a}),i.html(g?d(

リクエストのユーザーエージェント文字列はJava/1.6.0_06ですので、私たちは安全にそれはおそらく、Javaで書かれてボットだと仮定することができると思います。また、jQueryファイルに追加されたコードを見つけることができます。

今、私の質問はです。なぜは、参照されたJavascriptをURLに挿入しようとしますか？多分、クロスサイトスクリプティングの脆弱性のチェック

Answer 1

XSS対応のサイトを見つけるためのショットガンの試みである可能性があります。そのため、後で攻撃者が盗み見可能なものを見つけて攻撃を仕掛け、展開するWebページを書き込むことができます実際のユーザーに対して

はそのケースでは、攻撃者は、サイトからのHTMLを収集するためにボットを使用して、メッセージが出るかを確認するゾンビマシン上で実行されているIEのインスタンスにそのHTMLを渡すことができます。

ここではアクティブなペイロードが表示されないので、ここでコードを切り詰めたと仮定しますが、おそらくjQueryのpostMessageを使用するJSCompiled jQueryコードのように見えるので、XSSコードを使用して、資格情報などのJavaScriptのキーロガーをインストール

私が行うコードを探して、あなたのJavaScriptを通じてgrepするでしょう

location及び用途の一部をつかむために正規表現または部分のコールを使用しています

eval(location.substring(...)); 

か何かのようなものevalまたはnew Functionを押して解凍します。このような質問のための

Answer 2

。

ボットが成功注入を検出した場合、それは（例えば、ユーザーのパスワードを盗むか、悪質なサイトへリダイレクト）危険なコードを挿入することがあります。