Curiosa inclusione di JS

guelfoweb — Tue, 20 Apr 2010 19:12:55 +0000

Esaminando un particolare js e cercando informazioni su Google ho notato che diversi siti, molti dei quali basati su cms aggiornati all’ultima versione, sono stati recentemente violati e compromessi con questo codice javascript offuscato.

L’inclusione di un iframe di dimensioni 1,1 che punta a un dominio poco affidabile per far veicolare software dannoso non è una novità. Ad incuriosirmi infatti non è stata la struttura del codice (per niente complessa e risolvibile in due mosse) ma la presenza della stringa commentata in fondo allo script: <–! uy7gdr5kmn –>

Potremmo formulare numerose ipotesi per cercare di comprenderne il senso ma non essendo in grado di spiegare con certezza assoluta la presenza della stringa, per il momento resta (almeno per me) un mistero.

Due cose sono certe:

Non è una chiave utile per decifrare il codice.
Non è un caso che quella stringa accompagni lo script.

Disabilita Adblock Plus per visualizzare la pagina

guelfoweb — Fri, 30 Oct 2009 09:50:00 +0000

Stamattina rimbalzando da link a link approdo in una pagina web che mi chiede di disabilitare Adblock Plus per poter leggere l’articolo che mi interessava. A quel punto esclamo:

..e come diavolo fa a sapere che uso quell’estensione!?

Vado di wget per scaricare il contenuto della pagina ed ecco la geniale trovata

Sfruttare attraverso codice javascript una delle voci presente di default nella blacklist di Adblock Plus e leggere il valore che l’estensione assegna alla variabile disabled.

index.html

var disabled = false;

if (disabled == false) {
location.replace(“http://www.google.com”);
alert(“Sorry: Adblock is endabled!”);
} else {
document.write(‘Adblock is disabled! ’);
}
adb.js
disabled = true;

In effetti non mi viene in mente un’idea migliore, la genialità sta tutta nella semplicità/banalità. Qui un esempio pratico.

Gianni Amato » javascript

Curiosa inclusione di JS

Disabilita Adblock Plus per visualizzare la pagina