XSS – How to get 20.gov links in 20 minutes

I ’ d like to preface this entry by saying SEOmoz does not practice or support blackhat SEO techniques. Tätä ei ole tarkoitus olla neuvoa antava blackhat SEO-artikkeli tai luettelo verkkosivustoista, joita sinun kaikkien pitäisi hyödyntää. Tavoitteena tämä viesti on, pikemminkin, ”ulos” merkittävä heikkous, jota voidaan hyödyntää taju käyttäjät.

lukiessani EGOLIN tuoretta postausta gov linksistä aloin ideoida mahdollisia tapoja hankkia luovasti muutamia. gov linkkejä omasta. Näin syntyi minun ensimmäinen matka maailmaan blackhat SEO. Noin vuosi sitten kuulin siitä, miten webmasters olivat kaikki käynnissä peloissaan, koska haittaohjelmat käyttäjät voivat helposti sijoittaa HTML-koodia niiden muodossa syöttölaatikot ja manipuloida markup niiden sivustoja (aka XSS) olin utelias siitä, kuinka vaikeaa tämä todella oli, joten päätin tutkia.

suoritettuani Yahoo-sivuston: komennon sain listan hakulomakkeista sadoilta. gov-sivustoilta. Käytin web developer toolbar muuntaa HTML-muodossa menetelmiä POST saada, jolloin hakutulokset link-pystyy, lisätään muutama HTML-tunnisteet hakukenttään, ja voila: minulla oli 20 linkkejä .gov sivustot osoittavat sivustoni. Kun nämä sivut on luotu, teoriassa minun tarvitsee vain linkittää niitä eri muilla aloilla ja ne lopulta saada spidered ja alkaa kulkea link love.

alla olevassa luettelossa I vain linkitetty www.example.com (verkkotunnus varattu dokumentaatio-RFC 2606) ja käyttää ankkuri teksti ”Katso, tein linkin” tehdä linkkejä ilmeinen paikalla. Alla oleva lista näyttää vaarantuneet sivut:

  1. Environmental Protection Agency
  2. United States Department of Commerce
  3. NASA – This one was a little kinkkinen, I had to throw in some extra markup to ensure the HTML that was rendered was not mankled. Lopulta onnistuin saamaan linkin, joka oli upotettu jättimäisen H1-tägin sisään.
  4. the Library of Congress – I even added an image of a kitty wearing a watermelon helmet
  5. US Securities and Exchange Commission
  6. Official California Legislative Information
  7. US Department of Labor
  8. Office of Defects Investigation-Their website is the only thing that ’ s viallinen 🙂
  9. National Institutes of Health
  10. US Dept of Health & Human Services
  11. Missouri Secretary of State
  12. California Department of Health Services
  13. Hawaii Department of Commerce and Consumer Affairs
  14. IDL Astronomy Library Search
  15. US Department of treasury
  16. California State lainsäätäjä
  17. office of Extamural Research
  18. Health Information Resource database (health.gov)
  19. Yhdysvaltain postilaitos jouduin hyppäämään muutaman kehittyneen lomakkeen läpi ennen kuin löysin sellaisen, jota voisin käyttää.
  20. North Dakota Legislative Branch

monet näistä URL-osoitteista päätyivät hyvin pitkiksi ja karkeiksi, mahdollisesti diskontaten minkä tahansa arvon, jonka ne saattoivat siirtää.

näen muutamia mahdollisia ratkaisuja ongelmaan (olettaen, että tämä on ongelma)

  1. kaikki nämä sivustot on ilmoitettava hyödyntää ja alkaa validointi lomakkeen syöte. Valitettavasti tämä on vain nopea lista, jonka kokosin tänä iltana, Olen varma, että on olemassa tuhansia (ellei miljoonia) sivustoja, jotka ovat haavoittuvia.
  2. SES: n on poistettava sivuston hakutulossivulta löytyvien linkkien arvo (ehkä he jo tekevät näin?). Nämä hyväksikäytöt eivät rajoitu hakutuloksiin, kuitenkin; voit tehdä tämän millä tahansa HTML-lomakkeella, joka ei ollut oikein validointi tulo.
  3. SEs saattoi devalvoida suuresti linkkejä, joihin ei ole linkitetty muusta sivustosta. Nämä ruiskutetut sivut ovat pohjimmiltaan ”kellujia”: sivuja, joita ei ole linkitetty mihinkään Sivustolla, mutta joissa on saapuvia ulkoisia linkkejä. Tekeekö SEs jo tämän?
  4. De-arvo sivut, jotka sisältävät HTML-koodia URL-osoitteessa (sekä koodattu että Koodaamaton), varsinkin jos se sisältää tageja.
  5. kieltää kaikenlaisten muotojen indeksoinnin robottien avulla.TXT tai meta-tunniste. Tämäkin vaatisi työtä. gov webmasters-osan parissa ja muutokset tehdään todennäköisesti melassin nopeudella (olettaen, että hallituksen web-osastot toimivat yhtä hitaasti kuin muutkin).

mitä te kaikki ajattelette? Olisiko nämä ruiskutetaan linkit pass linkki rakkaus vai onko tämä yksinkertaisesti jotain, että hakukoneet jo huomioon ja on ei-kysymys?

SEO sikseen, tätä voitaisiin käyttää myös tietojenkalasteluhuijauksiin. Hyökkääjä voisi esimerkiksi rakentaa väärennetyn maksulomakkeen nasa.gov sivusto pyytää $100.00 jostain syystä. Lomake POSTITTAISI toiselle palvelimelle, maksutiedot tallennettaisiin, ja sitten ne välitettäisiin takaisin toiselle hyväksikäytetylle palvelimelle. nasa.gov sivu, jossa on ”Kiitos maksusta” – viesti. Käyttäjä ei koskaan tietäisi tulleensa huijatuksi-vähintäänkin pelottavaa.

UPDATE (Randista): Alun perin vedimme tämän viestin huolenaiheita, että se voisi kipinä oikeudellisia kysymyksiä tai luoda enemmän ongelmia sitten se auttoi ratkaisemaan. Kuitenkin, kuultuamme useita ihmisiä, olemme päättäneet, että lakaistaan ongelma maton alle on haitallisempaa kuin saada se esiin.

Vastaa

Sähköpostiosoitettasi ei julkaista.