Xdoor - Unsere Ajax-basierte Backdoor

Xdoor

Unsere Ajax-basierte Backdoor

Marc Ruef
by Marc Ruef
time to read: 3 minutes

Der Begriff Web 2.0 ist ein Buzzword, das die meisten Techniker nicht mehr hören können. Vorzugsweise deswegen, weil die meisten Projektleiter und Nutzer nicht wissen, was das überhaupt ist (und dass es die genutzten Mechanismen schon seit längerer Zeit gibt). Grundsätzlich versteht man darunter Ajax (Asynchronous JavaScript and XML), eine Kombination aus Javascript und XML.

Seit einiger Zeit wird diskutiert, ob und inwiefern sich damit Backdoors zur Kompromittierung und Fernsteuerung von Clients umsetzen lassen. Seit Anfang 2008 arbeiten wir an einer Implementierung mit dem Projektnamen Xdoor (XmlHTTP Backdoor). Diese pflegen wir seit Mitte 2008 in unseren Backdoor Tests einzusetzen.

Xdoor 3.0 Demo Video

Zu Beginn dieses Jahres haben wir ein Video aufgenommen, welches die Funktionsweise und das Verhalten von Xdoor illustriert. Dieses haben wir nun mitunter auf YouTube online gestellt, um sowohl unseren Kunden als auch technisch Interessierten diese Entwicklung aufzuzeigen. Mit Xdoor ist zur Zeit folgendes möglich:

Es muss erwähnt bleiben, dass es sich in der im Video gezeigten Version Xdoor 3.0 um eine ältere Implementierung vom 07.01.2009 handelt. Mittlerweile ist Xdoor 4.x im Einsatz, was ein Mehr an Modularität und dedizierte Payloads für browserspezifische Exploits unterstützt.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

You want to test the strength of your enterprise regarding malware attacks?

Our experts will get in contact with you!

×
Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentication

Voice Authentication

Marc Ruef

Bug Bounty

Bug Bounty

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here