XSS – hogyan lehet 20 .gov linkeket szerezni 20 perc alatt

szeretném előszavában ezt a bejegyzést azzal, hogy a SEOmoz nem gyakorolja vagy támogatja a blackhat SEO technikákat. Ez nem egy oktató blackhat SEO cikk vagy olyan webhelyek listája, amelyeket mindenkinek ki kell használnia. Ennek a bejegyzésnek a célja inkább egy jelentős gyengeség “kiiktatása”, amelyet a hozzáértő felhasználók kihasználhatnak.

miközben olvastam EGOL legutóbbi bejegyzését a gov linkekről, elkezdtem ötletelni a lehetséges módszereket néhány saját .gov link kreatív megszerzésére. Így született meg az első behatolás a világ blackhat SEO. Körülbelül egy évvel ezelőtt hallottam arról, hogy a webmesterek mind megijedtek, mert a rosszindulatú felhasználók könnyen elhelyezhetik a HTML kódot az űrlap beviteli dobozaiba, és manipulálhatják a webhelyeik jelölését (más néven XSS), kíváncsi voltam, hogy ez valójában milyen nehéz volt, ezért úgy döntöttem, hogy kivizsgálom.

futtatása után a Yahoo site: parancs tudtam, hogy egy listát a keresési formák több száz .gov oldalak. Régebben a web developer toolbar konvertálni HTML formában módszerek POST kap, így a keresési eredmények link-képes, ki néhány HTML tag a keresőmezőbe, és voila: volt 20 linkeket .gov honlapok mutat az oldalamra. Miután ezeket az oldalakat létrehozták, elméletileg csak annyit kell tennem, hogy összekapcsolom őket különböző más domainekről, és végül pókot kapnak, és elkezdenek átadni a link szeretetét.

az alábbi listában csak a következőkhöz kapcsolódtam www.example.com (a dokumentáció számára fenntartott domain – RFC 2606), és a “nézd, csináltam egy linket” horgonyszöveget használta, hogy a linkeket nyilvánvalóvá tegye a helyszínen. Az alábbi lista a sérült oldalakat mutatja:

  1. Environmental Protection Agency
  2. Egyesült Államok Kereskedelmi Minisztériuma
  3. NASA – ez egy kicsit trükkös volt, be kellett dobnom néhány extra jelölést, hogy megbizonyosodjak arról, hogy a megjelenített HTML nem volt-e összekeverve. Végül sikerült egy linket beágyaznom egy óriási h1 címkébe.
  4. a Library of Congress-én is hozzá egy kép egy cica visel görögdinnye sisak
  5. US Securities and Exchange Commission
  6. hivatalos Kaliforniai jogalkotási információk
  7. US Department of Labor
  8. Office of Defects Investigation-a honlap az egyetlen dolog, ami hibás 🙂
  9. National Institutes of Health
  10. US Dept of Health & Humán Szolgáltatások
  11. Missouri Secretary of State
  12. California Department of Health Services
  13. Hawaii Department of Commerce and Consumer Affairs
  14. IDL csillagászati könyvtár Keresés
  15. US Department of kincstár
  16. kaliforniai állami törvényhozás
  17. külső Kutatási Hivatal
  18. Egészségügyi Információs Erőforrás-Adatbázis (health.gov)
  19. Egyesült Államok postai szolgálata át kellett ugranom néhány speciális űrlapot, mielőtt találtam egyet, amelyet használhatok.
  20. Észak-Dakotai törvényhozó testület

ezen URL-ek közül sok nagyon hosszú és csomós volt, valószínűleg nem számítva az esetleges értékeket.

látok néhány lehetséges megoldást a problémára (feltételezve, hogy ez probléma)

  1. minden ilyen webhelyet tájékoztatni kell a kihasználásról, és meg kell kezdeni az űrlapbevitel érvényesítését. Sajnos ez csak egy gyors lista, amelyet ma este állítottam össze, biztos vagyok benne, hogy több ezer (ha nem millió) webhely van, amelyek sebezhetőek.
  2. a SEs-nek ki kell értékelnie a webhely keresési eredményoldalán található linkeket (talán már ezt is megteszik?). Ezek a kihasználások azonban nem korlátozódnak a keresési eredményekre; ezt bármilyen HTML-űrlapon megteheti, amely nem volt megfelelően érvényesítve a bemenetet.
  3. a SEs jelentősen leértékelheti azokat a linkeket, amelyek nem kapcsolódnak a webhely többi részéből. Ezek az injektált oldalak lényegében “lebegők”: olyan oldalak, amelyek nem kapcsolódnak a webhely bármely pontjához, de bejövő külső linkekkel rendelkeznek. Az SEs már ezt csinálja?
  4. De-value oldalak, amelyek HTML-t tartalmaznak az URL-ben (mind kódolt, mind kódolatlan), különösen, ha címkéket tartalmaz.
  5. tiltsa indexelés bármilyen formában keresztül robotok.txt vagy metacímke. Ehhez ismét a .gov webmesterek részén kell dolgozni, és a változások valószínűleg a melasz sebességével történnek (feltételezve, hogy a kormány webes részlegei ugyanolyan lassan dolgoznak, mint a többi).

mit gondoltok? Vajon ezek injektált linkek át link szerelem, vagy ez egyszerűen valami, hogy a keresőmotorok már figyelembe, és egy nem kérdés?

SEO eltekintve, ez is fel lehet használni az adathalász csalások. Például egy támadó hamis fizetési űrlapot készíthet a nasa.gov weboldal kér $100.00 bármilyen okból. Az űrlap ezután egy másik szerverre kerül, a fizetési adatokat tárolják, majd visszaküldik őket egy másik kizsákmányoltnak nasa.gov oldal “köszönöm a fizetést” üzenettel. A felhasználó soha nem fogja tudni, hogy becsapták őket – enyhén szólva ijesztő.

frissítés (Rand-tól): Mi eredetileg húzta ezt a bejegyzést az aggodalmak, hogy ez szikra jogi kérdések, vagy hozzon létre több problémát, akkor segített megoldani. Több emberrel folytatott konzultációt követően azonban úgy döntöttünk, hogy a probléma szőnyeg alá söpörése károsabb, mint a szabadban való kijutás.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.