你好,我是暂任主站前端。
正在校验相关脚本来源。
更新:2019年10月14日 20点56分
tldr: 该脚本应为上古时期测试代码,目前在白名单机制下已无法正常运作。
略长解析:
感谢楼主对主站code安全的关注及帮助。
上文提到的代码经过动态分析以及对外求证,行为如下:
1. 定义数个解混淆函数并借此还原出可运行的js
2. 主函数解密后获取浏览器userAgent,假设解析结果反映用户浏览设备为安卓且cookit带有 __utma= 关键词时,异步加载一个脚本,该脚本地址为:https://clickstats365.com/ui_node.js?cid=12&v=cfcd208495d565ef66e7dff9f98764da
3. 通过查询,__utma=为google 浏览量分析脚本的cookie
4. 通过git版本查询,该脚本为上古遗留物,早在代码git化管理时已存在。
5. 异步加载的js所在域名不在白名单内,经过验证即使手动调试为所有运行条件都满足也无法加载。
在上诉行为中已可大致推测该脚本为浏览分析脚本(不然不会过滤用户且分析cookie中带有指定关键词才加载),应为上古时期测试时没有删除干净,现已删除。
分析师提到代码已上传至sharebin供review,在任意tab(包括空白tab)控制台输入运行便可单步调试验证。
上诉提到脚本内容:https://paste.ubuntu.com/p/ZFbdVPXd5j/
Google 搜索发现
This domain name expired on 2019-10-08 18:05:57 (bgm38) curl -vv "https://clickstats365.com/ui_node.js?cid=12&v=cfcd208495d565ef66e7dff9f98764da"
显示 handshake 失败,没有回传 handshake,此站不支持 https 访问
页:
[1]