XSS-How to get20.gov links in20minutes

私はSEOmozがblackhat SEOテクニックを練習したり支持したりしないと言って、このエントリを序文にしたいと思います。 これは、教育blackhat SEOの記事やあなたがすべてを活用して行く必要がありますウェブサイトのリストであることを意図していません。 この投稿の目的は、むしろ、精通したユーザーが悪用する可能性のある重大な弱点を「排除」することです。

GOV linksに関するEGOLの最近の投稿を読んでいる間、私は自分の.govリンクをいくつか創造的に取得するための可能な方法をブレーンストーミングし始めました。 このようにblackhat SEOの世界に私の最初の進出が生まれました。 約一年前、私は悪意のあるユーザーが簡単に自分のフォーム入力ボックスにHTMLコードを配置し、自分のサイト(別名XSS)上のマークアップを操作することができたので、ウェブマスターがすべて怖がって実行していた方法について聞いた私は、これが実際にあったどのように困難に興味があったので、私は調査することにしました。

Yahoo site:コマンドを実行した後、何百もの.govサイトから検索フォームのリストを取得することができました。 Web developer toolbarを使用してHTMLフォームメソッドをPOSTからGETに変換し、検索結果をリンクできるようにし、検索ボックスにいくつかのHTMLタグを挿入し、出来上がり:.gov これらのページが作成されたら、理論的に私がしなければならないすべてはさまざまな他の範囲からのそれらへのリンクであり、結局spidered得、リンク愛を渡

以下のリストでは、私はにリンクされていますwww.example.com (ドキュメント用に予約されたドメイン-RFC2606)、アンカーテキスト”Look,I made a link”を使用して、リンクを見つけやすくしました。 以下のリストは、侵害されたページを示しています:

  1. 環境保護庁
  2. 米国商務省
  3. NASA-これは少しトリッキーだった、私はレンダリングされたHTMLがマングルされていないことを確認するために、いくつかの余分なマー 結局、私は巨大なh1タグの中に埋め込まれたリンクを得ることができました。
  4. 米国議会図書館-スイカのヘルメットを着ている子猫の画像を追加しました
  5. 米国証券取引委員会
  6. カリフォルニア州公式立法情報
  7. 米労働省
  8. 欠陥調査局-彼らのウェブサイトは欠陥がある唯一のものです :
  9. 米国保健省&ヒューマンサービス
  10. ミズーリ州国務長官
  11. カリフォルニア州保健サービス省
  12. ハワイ州商務消費者局
  13. IDL天文図書館検索
  14. 米財務省
  15. カリフォルニア州議会
  16. 学外研究室
  17. 健康情報資源データベース(health.gov)
  18. United States Postal Service私は私が使用できるものを見つける前に、いくつかの高度なフォームをジャンプしなければなりませんでした。
  19. North Dakota Legislative Branch

これらのUrlの多くは非常に長く、粗末であり、合格する可能性のある値を割り引いている可能性があります。

私は問題に対するいくつかの可能な解決策を見ます(これが問題であると仮定します)

  1. これらのサイトはすべて、悪用を通知し、フォーム入力の検証を開始する必要があります。 残念ながら、これは私が今晩一緒に入れただけの簡単なリストです、私は脆弱なサイトの数千人(そうでない場合は何百万人)があると確信しています。
  2. SEsは、サイトの検索結果ページにあるリンクを評価する必要があります(おそらく、彼らはすでにこれを行いますか?). 入力を適切に検証していないHTMLフォームでこれを行うことができます。
  3. SEsは、サイトの他の部分からリンクされていないリンクを大幅に価値を下げる可能性があります。 これらの注入されたページは本質的に”飛蚊症”である:場所のどこでもにリンクされないが、入って来る外部リンクがあるページ。 SEsはすでにこれを行いますか?
  4. 特にタグが含まれている場合、URLにHTMLが含まれているページ(エンコードされているページとエンコードされていないページの両方)の値を解除します。
  5. ロボットを介したフォームのインデックス作成を禁止します。txtまたはメタタグ。 再度、これは.govのウェブマスターの部分の仕事を要求し、変更はおそらく糖蜜の速度でなされる(それの残りゆっくり政府の仕事の網部を仮定する)。

皆さんはどう思いますか? これらの注入されたリンクはリンク愛を渡すか、またはこれは調査エンジンが既にのために説明し、非問題である単に何かであるか。

SEOは別として、これはフィッシング詐欺にも使用できます。 たとえば、攻撃者は偽の支払いフォームを作成する可能性があります。nasa.gov ウェブサイトは何らかの理由で$100.00を求めています。 フォームは別のサーバーに投稿され、支払いデータが保存され、悪用された別のサーバーに転送されますnasa.gov “お支払いいただきありがとうございます”というメッセージが表示されたページ。 ユーザーは、彼らがだまされていた知っていることはないだろう-控えめに言って恐ろしい。

更新(ランドから): 私たちはもともとこの記事を、法的問題を引き起こしたり、より多くの問題を引き起こしたりする可能性があるという懸念に基づいて解決しました。 但し、何人かの人々との相談の後で、私達はカーペットの下で問題を掃除することが開いたのそれを得るより有害であることを決定した。

コメントを残す

メールアドレスが公開されることはありません。