XSS – Cómo obtener enlaces 20.gov en 20 minutos

Me gustaría comenzar esta entrada diciendo que SEOmoz no practica ni respalda las técnicas de SEO blackhat. Esto no pretende ser un artículo instructivo de blackhat SEO o una lista de sitios web de los que todos deberían aprovechar. El objetivo de esta publicación es, más bien, «sacar» una debilidad significativa que puede ser explotada por usuarios expertos.

Mientras leía la publicación reciente de EGOL sobre enlaces gubernamentales, comencé a intercambiar ideas sobre posibles formas de adquirir de forma creativa algunos enlaces .gov propios. Así nació mi primera incursión en el mundo de blackhat SEO. Hace aproximadamente un año escuché que todos los webmasters estaban asustados porque los usuarios maliciosos podían colocar fácilmente código HTML en sus cajas de entrada de formularios y manipular el marcado en sus sitios (también conocido como XSS). Tenía curiosidad por saber lo difícil que era esto, así que decidí investigar.

Después de ejecutar un comando Yahoo site: pude obtener una lista de formularios de búsqueda de cientos de sitios .gov. Utilicé la barra de herramientas para desarrolladores web para convertir los métodos de formulario HTML de POST a GET, haciendo que los resultados de búsqueda pudieran enlazar, inserté algunas etiquetas HTML en los cuadros de búsqueda y listo: Tenía 20 enlaces de sitios web .gov que apuntaban a mi sitio. Una vez que se crearon estas páginas, en teoría, todo lo que tendría que hacer es vincularlas desde varios otros dominios y, finalmente, serían arañas y comenzarían a transmitir amor de enlace.

En la lista de abajo solo enlacé a www.example.com (un dominio reservado para documentación-RFC 2606) y usó el texto de anclaje «Mira, hice un enlace» para hacer que los enlaces sean obvios para spot. La siguiente lista muestra las páginas comprometidas:

  1. Agencia de Protección Ambiental
  2. Departamento de Comercio de los Estados Unidos
  3. NASA: Este fue un poco complicado, tuve que agregar un marcado adicional para asegurarme de que el HTML que se renderizó no estuviera dañado. Al final me las arreglé para conseguir un enlace incrustado dentro de una etiqueta h1 gigante.
  4. La Biblioteca del Congreso – incluso he añadido una imagen de un gatito que llevaba una sandía casco
  5. Comisión de Valores y bolsa
  6. California Oficial de Información Legislativa
  7. Departamento de Trabajo de EE.UU.
  8. Oficina de Defectos de Investigación – Su sitio web es la única cosa que es defectuoso 🙂
  9. Institutos Nacionales de Salud
  10. Departamento de Salud de EE. UU. & Servicios Humanos
  11. Secretario de Estado de Missouri
  12. Departamento de Servicios de Salud de California
  13. Departamento de Comercio y Asuntos del Consumidor de Hawái
  14. Búsqueda en la Biblioteca de Astronomía IDL
  15. Tesorería
  16. Legislatura del Estado de California
  17. Oficina de Investigación Extramuros
  18. Base de Datos de Recursos de Información de Salud (health.gov)
  19. Servicio Postal de los Estados Unidos Tuve que pasar por algunos formularios avanzados antes de encontrar uno que pudiera usar.
  20. Rama Legislativa de Dakota del Norte

Muchas de estas URL terminaron siendo muy largas y retorcidas, posiblemente descontando cualquier valor que pudieran pasar.

Veo algunas soluciones posibles al problema (Suponiendo que esto sea un problema)

  1. Todos esos sitios deben estar informados del exploit y comenzar a validar la entrada de formularios. Desafortunadamente, esta es solo una lista rápida que armé esta noche, estoy seguro de que hay miles (si no millones) de sitios que son vulnerables.
  2. El SEs necesita restar valor a los enlaces que se encuentran en una página de resultados de búsqueda del sitio (¿quizás ya lo hacen?). Sin embargo, estos exploits no se limitan a los resultados de búsqueda; puedes hacer esto en cualquier formulario HTML que no esté validando correctamente la entrada.
  3. El SEs podría desvalorizar en gran medida los enlaces que no están vinculados desde el resto del sitio. Estas páginas inyectadas son esencialmente «flotadores»: páginas que no están vinculadas a ninguna parte del sitio, pero tienen enlaces externos entrantes. ¿El SES ya hace esto?
  4. Quita el valor de las páginas que contienen HTML en la URL (codificadas y no codificadas), especialmente si contiene etiquetas.
  5. No permitir la indexación de formularios a través de robots.txt o una meta etiqueta. Una vez más, esto requeriría trabajo en la parte de webmasters .gov y los cambios probablemente se hagan a la velocidad de la melaza (suponiendo que los departamentos web del gobierno trabajen tan lentamente como el resto).

¿Qué piensan? Estos inyectado enlaces pasar vínculo de amor, o es simplemente algo que los motores de búsqueda ya cuenta y es un tema no?

SEO aparte, esto también podría usarse para estafas de phishing. Por ejemplo, un atacante podría construir un formulario de pago falso en el nasa.gov sitio web pidiendo 1 100.00 por cualquier razón. El formulario se PUBLICARÍA en otro servidor, los datos de pago se almacenarían y luego serían reenviados a otro explotado nasa.gov página con un mensaje de «gracias por su pago». El usuario nunca sabría que ha sido engañado, aterrador por decir lo menos.ACTUALIZACIÓN

(de Rand): Originalmente sacamos esta publicación sobre preocupaciones de que podría provocar problemas legales o crear más problemas de los que ayudó a resolver. Sin embargo, después de consultar con varias personas, hemos decidido que barrer el problema debajo de la alfombra es más perjudicial que sacarlo a la luz.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.