molo.tw
Published: 2009/06/20
rnw.kzとあわせて、やっと難読化コードのインジェクションを捉えられるようになりました。
rnw.kzがこれで
こうなる
molo.twがこれで
こうなる
両方とも「Nine-Ball」と呼ばれているやつで、アクセスすると「rnw.kz」で書いたようなリダイレクションが行われます。
きっかけは別の手法のインジェクションの抽出だったりするのですが、そちらはあとで追記。
インジェクション攻撃にさらされるサイト運用者にとっては、javascriptがまったくないサイトにjavascriptが入っていたらすぐに気づけますが、最近の凝ったウェブサービスでは、javascriptの利用や、この手の難読化は正規のサイトでも利用されている手法だと思いますので、このようなコードがあるからといって見た目で危険だと考えてしまうのは、間違いと混乱のもとになる可能性が大きいと思うんですよね。そうなったとしても危機意識の向上とポジティブにとらえるべきなのか、、、
サイト運用者は、自分のサイトで利用されているjavascriptや難読化コードがどんなものが使われているかの理解がまず必要で、その上で知らないうちに把握していないコードが追加されていないかの定期的なチェックが必要なのかなぁと思います。あわててチェックソフトやチェックサービス使ったらjs使ったコードが大量にひっかかって大慌て。でも実は、攻撃とは無関係のコードなのにっていうのがよくあるパターンじゃないですか。
でも、まぁ残念ながらコスト的にも、管理者の意識的にも、手を抜かれがちな部分で、騒ぎが収まればまた放置っていう歴史の繰り返しなわけですから、本質的な解決策ではないと思いますが、第三者に定期的に監査してもらうっていう仕組みを取り入れてしまうのが一番楽だと思いますが、そういうサービスって高いんですかね。
by jyake