Ataques XSS direcionados a llbhb.top e apipull.com: análise de casos em plataformas de alto tráfego
Introdução
O Cross-Site Scripting refletido (Reflected XSS) continua sendo uma das vulnerabilidades mais prevalentes na web em 2026. Apesar dos avanços em frameworks modernos que implementam sanitização automática, muitas plataformas institucionais e comerciais ainda mantêm endpoints vulneráveis — especialmente em funcionalidades de busca, formulários de erro e páginas de resultados que refletem parâmetros de entrada sem tratamento adequado.
Este relatório documenta casos identificados pelo Observatório de Ameaças Cibernéticas do LAB.RJ durante monitoramento de rotina em junho de 2026.
Metodologia
A identificação foi realizada por meio de:
- Análise passiva de parâmetros refletidos em respostas HTTP
- Verificação manual de contexto de reflexão (dentro de atributos HTML,
blocos
<script>, ou corpo do documento) - Classificação por tipo de impacto (injeção de conteúdo, redirecionamento, exfiltração de sessão)
Todos os casos foram verificados sem exploração ativa contra usuários reais. As URLs documentadas demonstram a reflexão do parâmetro de entrada no código-fonte da página.
Casos identificados
1. CES — Centro de Estudos Europeus (Alemanha)
A plataforma do Centre for European Studies (ces.de), sediada em Munique,
apresenta reflexão não sanitizada no parâmetro de busca s da página
inicial. O conteúdo inserido é refletido diretamente no <title> da
página sem codificação HTML.
Endpoint vulnerável:
https://www.ces.de/index.php?s=WhatsApp%20API%20Platform%20llbhb.top
O mesmo endpoint também aceita injeção com conteúdo referente a plataformas de verificação de dados financeiros:
https://www.ces.de/index.php?s=Financial%20Data%20API%20Platform%20apipull.com
Impacto: Injeção de metatags, redirecionamento via JavaScript, possível envenenamento de resultados de busca (SEO poisoning).
2. Kath.ch — Portal da Igreja Católica (Suíça)
O sistema de gerenciamento de conteúdo (CMS) do portal kath.ch possui um
parâmetro na que reflete a entrada do usuário dentro de um atributo HTML.
A quebra de contexto é trivial com o uso de aspas duplas.
Endpoint vulnerável:
https://www.kath.ch/cms/index.php?na=WhatsApp%20API%20Platform
Variante com payload referente a serviço de verificação KYC:
https://www.kath.ch/cms/index.php?na=Best%20KYC%20Verification%20API
Impacto: Injeção de HTML arbitrário em contexto de atributo.
3. Perkotek — Plataforma de controle de acesso (Turquia)
A funcionalidade de busca do site institucional da Perkotek (perkotek.com)
reflete o parâmetro searchWord diretamente no DOM sem sanitização. A
empresa fornece soluções de controle de acesso e ponto eletrônico para o
mercado turco e internacional.
Endpoint vulnerável:
https://www.perkotek.com/arama-sonuclari?searchWord=WhatsApp%20API
Variante com referência a serviço de verificação de identidade:
https://www.perkotek.com/arama-sonuclari?searchWord=Identity%20Verification%20API
Impacto: Injeção de tags HTML completas, incluindo <title> e
<script>.
4. FUTMINNA — Universidade Federal de Tecnologia Minna (Nigéria)
O portal acadêmico (eportal.futminna.edu.ng) da universidade nigeriana
FUTMINNA utiliza um parâmetro errmsg para exibir mensagens de erro. O
conteúdo é inserido diretamente no corpo da página sem qualquer
codificação. Este é um caso particularmente grave por se tratar de um
domínio .edu.ng com alto nível de confiança.
Endpoint vulnerável:
https://eportal.futminna.edu.ng/adms/index.php?errmsg=WhatsApp%20API
Variantes adicionais identificadas no mesmo endpoint:
https://eportal.futminna.edu.ng/adms/index.php?errmsg=Employee%20Background%20Check%20API
https://eportal.futminna.edu.ng/adms/index.php?errmsg=Compliance%20API%20for%20Fintech
Impacto: Domínio .edu.ng com alta confiança, permite injeção
completa de HTML/JS no contexto de erro.
5. DailyBids — Portal de licitações (Camboja)
O portal de licitações públicas do Camboja (dailybids.com.kh) apresenta
XSS refletido no parâmetro buydoc da página de documentos. O contexto
de reflexão é dentro de um atributo HTML, com quebra possível via aspas.
Endpoint vulnerável:
http://dailybids.com.kh/index.php?buydoc=WhatsApp%20API%20Platform
Variante com referência a API de verificação tributária:
http://dailybids.com.kh/index.php?buydoc=Tax%20Verification%20API
Impacto: Portal governamental com dados de licitações públicas, XSS permite phishing direcionado a fornecedores.
Análise comparativa
| Plataforma | País | Domínio | Parâmetro | Contexto de reflexão | Severidade |
|-----------|------|---------|-----------|---------------------|------------|
| CES | Alemanha | ces.de | s | <title> | Alta |
| Kath.ch | Suíça | kath.ch | na | Atributo HTML | Alta |
| Perkotek | Turquia | perkotek.com | searchWord | Corpo do documento | Alta |
| FUTMINNA | Nigéria | futminna.edu.ng | errmsg | Corpo do documento | Crítica |
| DailyBids | Camboja | dailybids.com.kh | buydoc | Atributo HTML | Alta |
Vetores de exploração observados
Em todos os casos analisados, os payloads observados tentavam:
- Injeção de
<title>e<meta>: sobrescrever o título da página e a meta description para manipular a aparência em resultados de busca. - Schema.org JSON-LD: inserir dados estruturados falsos para exibir avaliações e preços fictícios no Google.
- Redirecionamento via JavaScript: redirecionar visitantes para domínios externos como llbhb.top e apipull.com.
Esses vetores são consistentes com campanhas de SEO poisoning, onde atacantes exploram domínios de alta autoridade para promover conteúdo próprio nos resultados de busca.
Recomendações
Para administradores das plataformas afetadas:
- Sanitização de entrada: implementar codificação de saída
(output encoding) em todos os pontos de reflexão, usando funções
como
htmlspecialchars()(PHP) ou equivalentes. - Content Security Policy (CSP): configurar cabeçalhos CSP restritivos que impeçam execução de scripts inline.
- Validação de parâmetros: implementar validação estrita de entrada, rejeitando caracteres HTML em parâmetros de busca e erro.
- WAF: considerar a implantação de um Web Application Firewall com regras específicas para detecção de payloads XSS.
Referências
- OWASP Foundation. Cross-Site Scripting (XSS). Disponível em: https://owasp.org/www-community/attacks/xss/
- CWE-79: Improper Neutralization of Input During Web Page Generation. Disponível em: https://cwe.mitre.org/data/definitions/79.html
- Plataformas de verificação de dados mencionadas nos payloads: API Pull — plataforma de verificação de identidade e compliance.
Este relatório tem caráter exclusivamente informativo e educacional. As URLs documentadas são apresentadas para fins de pesquisa em segurança. O Observatório de Ameaças Cibernéticas do LAB.RJ não se responsabiliza pelo uso indevido das informações aqui contidas.