cNotes 検索 一覧 カテゴリ

インジェクション テスト中?

Published: 2009/09/05

えーと、気のせいなのかもしれませんが、最近インジェクション用の新しいスクリプトとか新しい条件分岐の仕方とかが試されてるのかなぁと。

同じ攻撃サイトのスクリプトが、ある瞬間だけ、いままでとはちょっと違ったスクリプトに変わってたりするのを見かけます。すぐに元に戻るのがすごくあやしい。

たとえば、wm.5fqwf.cnとかたくさんの攻撃で利用されている、こんな感じのよくあるブラウザ種別によって攻撃分岐を行う一段目のスクリプトがあります。

ところが、たまにこんなスクリプトがその前段にかまされていることがあります。

そして、この瞬間は、直接いままで使われていたURL

 *******/x118/ytfl1.htm

へリクエストを投げてもまったく応答がありませんが、

ちゃんとスクリプト実行の結果生成されるURL

 *******/x118/ytfl1.htm?jdfwkey=fyo6c1

だと、応答があり攻撃が次のステップに進行します。

うまく使えばブラックリストベースでのクローリングによる解析を無効にされる機能かなぁと思いますがどうなんでしょう。

ただ、数時間後には前述のただのブラウザ種別での分岐スクリプトに戻っていて、

 *******/x118/ytfl1.htm

でも応答が返ってくるようになってました。

同様の例がぱらぱらと、、、

いったい何をやっているんだろう。

うーん、気のせいかな。

[カテゴリ:インジェクション観察日記]

by jyake