Spyware de sites confiáveis?

Sim, é uma ocorrência mais comum, e a única documentação que tenho são meus registros antispyware mostrando rejeições de tentativas de downloader mal-intencionado e análise de fonte de página em HTML em uma VM que mostrava código de injeção de iframe existente no site.

O Wordpress, se não for mantido ou protegido corretamente, significa que você corre o risco de acessar sites de blogs respeitáveis apenas para ser enviado a algum mecanismo de infecção que faz uma varredura completa do seu sistema para fazer o perfil do aplicativo de exploração mais provável. / p>

O script entre sites também é empregado e o site em que você está nem precisa ser comprometido ou hackeado para que isso funcione.

A única documentação que li sobre isso foi por empresas anti-malware ou antivírus. (Que devem ser os que estão investigando isso, mas que também me faz duvidar de tudo o que eles publicam, pois isso é a seu favor. Como nós holandeses dizemos 'Nós do WC-Eend recomendamos WC-Eend para .....').

No entanto, existem pelo menos três maneiras pelas quais o malware pode obter distribuições por sites confiáveis:

1. O site foi comprometido. Acontece. Não frequentemente, mas às vezes acontece. Geralmente, o software dos sites não é atualizado ou não é atualizado com rapidez suficiente. (Uma exploração conhecida pode ser usada no dia em que ela é conhecida. Portanto, você precisaria verificar as listas de discussão e atualizá-las diariamente. Nem todo mundo faz isso, o que significa que geralmente há uma janela de vulnerabilidade.
2. O site executa scripts de outros sites. Por exemplo. banners publicitários. Ele inclui esses scripts de um local remoto e não tem controle sobre esses . Em seguida, o site remoto é invadido e o site respeitável inclui seu código.
3. Semelhante ao ponto 2. Mas o servidor add decide alterar seu código para sua vantagem. (por exemplo, o cabeçalho de script java obscurecido que foi exibido no LiveJournal por um tempo).

Se você quiser ver se um site usa software de outro servidor que não o site, tente o plugin requestpolicy para o Firefox. Ele lhe dará algumas dicas sobre com que frequência os scripts e outras fontes são chamados de outros sites.

Há uma ampla classe de vulnerabilidades de segurança de aplicativos conhecidas como "scripts de sites interativos armazenados", o que geralmente significa que, quando você visita um site (independentemente de sua reputação), algum código não foi criado pelo o dono do site começa a executar no seu computador. 99,9999% do tempo, o código que inicia a execução é JavaScript. Às vezes, o JavaScript pode disparar com êxito a execução de outro código, como Flash, applets Java, ActiveX e assim por diante. Eles também podem causar pop-ups, instalar cookies de rastreamento mal-intencionados e obter itens como tamanho da tela, string do agente do usuário, o site de onde você veio e até mesmo configurar o Cross Frame Scripting, um ataque relacionado interagindo com o site atual, mas interagindo com o site de um invasor.

A razão pela qual esses ataques acontecem é que os sites permitem que entradas não validadas sejam inseridas no site e, em seguida, recuperadas posteriormente para exibição. Às vezes isso acontece por causa de um servidor da Web inseguro e, às vezes, eles simplesmente não fazem validação de entrada adequada.

Isso é extremamente comum em sites como fóruns, quadros de mensagens e seções "Comentários" de sites do sistema de gerenciamento de conteúdo (CMS); basicamente, em qualquer lugar que os usuários podem inserir seus próprios dados. O superusuário, na verdade, é um exemplo desse site.

Existem maneiras de se defender e / ou prevenir esses ataques, mas são extremamente comuns. O projeto de segurança de aplicativos da web aberto diz que o XSS armazenado é / foi a falha de segurança de aplicativo mais perigosa em 2010. Ele fornece maneiras para os proprietários de sites tentarem testar seu site para essas vulnerabilidades usando seus testes, por exemplo, aqui .