JavaScript atakuje i skanuje

lupus

JavaScript atakuje i skanuje.
Firma SPI Dynamics opracowała metodę skanowania sieci, wykrywania wersji oprogramowania webowego i wysyłania kodu do tak wykrytych maszyn w sieci. Nie było by w tym nic ciekawego, gdyby nie fakt, że wszystko to dzieje się za pomocą języka JavaScript - bardzo popularnego w budowaniu serwisów internetowych.

Kod może zostać uruchomiony na prawie każdej przeglądarce internetowej i systemie operacyjnym. Jedyną obroną przed wykorzystaniem tej metody jest wyłączenie obsługi JavaScript w przeglądarce internetowej. Skaner może zostać umieszczony na stronie kontrolowanej przez atakującego lub wstrzyknięty za pomocą techniki XSS.

Skanowanie jest możliwe dzięki funkcji ping zaszytej w obiekcie Image. Atrybut określający źródło odnosi się do adresu IP, który chce przeskanować skaner. Podczas gdy próba z wykorzystaniem obiektu Image wykaże, czy host istnieje czy nie, to nie zwróci informacji o tym, czy jest na nim uruchomiony serwer webowy. Do tego celu służy HTML-owy tag IFRAME z timerem i funkcją onload. Jeśli wystąpi zdarzenie onload zanim zadziała licznik, oznacza to, że skaner otrzymuje ruch HTTP z serwera webowego.

Następnie skaner przechodzi do identyfikowania zainstalowanego serwera webowego. Robi to wyszukując charakterystycznych dla domyślnych instalacji webserwerów plików graficznych. W ten sposób może odkryć nie tylko istnienie serwerów WWW ale także urządzeń sieciowych wyposażonych w interfejs administracyjny dostępny przez przeglądarkę internetową.

Skaner może także poszukiwać luk w znanym mu oprogramowaniu przesyłając do aplikacji odpowiednio spreparowane zmienne metodą GET lub POST.

Więcej informacji oraz expliot – przykład wykorzystania (proof of concept):
[link widoczny dla zalogowanych]