PROVEDORES! Bloqueiem esses sites maliciosos em seus FIREWALLS!

15 de junho de 2025
21 1 minuto de leitura

Blind XSS, SSRF e Exploração Silenciosa: Por Que Você Deve Bloquear Domínios como bxss.m?

RequestBin, bxss.me e Webhook.site: Ferramentas de Teste ou Armas Cibernéticas?

Sites como RequestBin, Webhook.site, bxss.me e seus clones são amplamente utilizados por desenvolvedores para testar requisições HTTP, mas também se tornaram ferramentas comuns em mãos de atacantes e bots automatizados para explorar e identificar vulnerabilidades em sistemas web, como SSRF (Server-Side Request Forgery), XSS cego, LFI, e execução remota de comandos. Eles funcionam como “coletores” invisíveis que aguardam callbacks de sistemas comprometidos ou mal configurados, permitindo que o atacante saiba, remotamente, se uma falha foi explorada com sucesso. Por isso, esses domínios são frequentemente usados em testes maliciosos automatizados, campanhas de varredura global e exploração silenciosa de sistemas vulneráveis, representando uma grave ameaça à segurança. Bloqueá-los diretamente no servidor, firewall ou via proxy é uma medida preventiva essencial para mitigar riscos de exfiltração de dados, vazamento de tokens e comprovação de vulnerabilidades exploráveis. Provedores e empresas deveriam impedir o uso indevido desses domínios para reduzir significativamente a superfície de ataque na internet.

Lista de Domínios Suspeitos Usados em Ataques e Explorações

🧪 Coletores de requisição (XSS/SSRF/LFI)

  • bxss.me
  • requestbin.com
  • requestbin.net
  • hookbin.com
  • postb.in
  • webhook.site
  • webhookrelay.com
  • dnslog.cn
  • interact.sh
  • oast.me
  • oast.pro
  • oast.site
  • oast.online
  • burpcollaborator.net
  • canarytokens.com
  • canarytokens.org
  • xsshunter.com
  • ezxss.com
  • xss.ht

🧿 Serviços usados para abuso em SSRF e vazamento de dados

  • pastebin.com
  • hastebin.com
  • ptsv2.com
  • logs.betteruptime.com
  • ngrok.io
  • localhost.run
  • serveo.net
  • trycloudflare.com
  • smee.io

🕳️ Serviços legítimos que são abusados por atacantes

  • slack.com (slackbot usado para exfiltrar via links)
  • api.telegram.org (para exfiltrar tokens ou alertar bot)
  • discord.com/api/webhooks
  • cloudflareworkers.com
  • awsdns-* (usado em SSRF via metadados)

Exemplo de regra para inserir em seu FIREWALL:

<rule name="Bloquear domínios maliciosos conhecidos" stopProcessing="true">
  <match url=".*(bxss\.me|requestbin\.com|requestbin\.net|hookbin\.com|postb\.in|webhook\.site|webhookrelay\.com|dnslog\.cn|interact\.sh|oast\.me|oast\.pro|oast\.site|oast\.online|burpcollaborator\.net|canarytokens\.com|canarytokens\.org|xsshunter\.com|ezxss\.com|xss\.ht|pastebin\.com|hastebin\.com|ptsv2\.com|ngrok\.io|localhost\.run|serveo\.net|trycloudflare\.com|smee\.io|slack\.com|discord\.com|telegram\.org).*" ignoreCase="true" />
  <action type="CustomResponse" statusCode="403" statusReason="Forbidden" statusDescription="Blocked by security policy" />
</rule>
15 de junho de 2025
21 1 minuto de leitura
Botão Voltar ao topo