XSS-Hvordan få 20. gov lenker i 20 minutter

Jeg vil gjerne forord denne oppføringen ved å si SEOmoz ikke praksis eller bifaller blackhat SEO teknikker. Dette er ikke ment å være en instruksjons blackhat SEO artikkel eller en liste over nettsteder du bør alle dra nytte av. Målet med dette innlegget er heller å «ut» en betydelig svakhet som kan utnyttes av kunnskapsrike brukere.

mens jeg leste EGOLS siste innlegg på gov links, begynte jeg å brainstormere mulige måter å kreativt skaffe seg noen. gov-lenker av meg selv. Dermed ble født min første steg inn i verden av blackhat SEO. Om et år siden hørte jeg om hvordan webmastere var alle kjører redd fordi ondsinnede brukere kan enkelt plassere HTML-kode i sine skjema input bokser og manipulere markup på sine nettsteder (aka XSS) jeg var nysgjerrig på hvor vanskelig dette faktisk var, så jeg bestemte meg for å undersøke.

etter å ha kjørt Et Yahoo-nettsted: kommando kunne jeg få en liste over søkeskjemaer fra hundrevis av. gov-nettsteder. Jeg brukte web developer toolbar til å konvertere HTML form metoder FRA POST Å FÅ, noe som gjør søkeresultatene link-stand, satt inn NOEN HTML-koder i søkeboksene, og voila: jeg hadde 20 linker fra. gov nettsteder som peker til nettstedet mitt. Når disse sidene ble opprettet, i teorien alt jeg trenger å gjøre er å koble til dem fra ulike andre domener, og de vil til slutt få spidered og begynne å passere link kjærlighet.

i listen nedenfor er jeg bare knyttet til www.example.com (et domene reservert for dokumentasjon – RFC 2606) og brukte ankerteksten «Se, jeg laget en lenke» for å gjøre koblingene åpenbare for å få øye på. Listen nedenfor viser de kompromitterte sidene:

  1. Environmental Protection Agency
  2. Usas Handelsdepartement
  3. NASA-Denne var litt vanskelig, jeg måtte kaste inn litt ekstra markering for å sikre AT HTML-koden som ble gjengitt, ikke ble manglet. Til slutt klarte jeg å få en lenke innebygd i en gigantisk h1-tag.
  4. Library Of Congress – jeg selv lagt til et bilde av en kattunge iført en vannmelon hjelm
  5. US Securities and Exchange Commission
  6. Offisiell California Lovgivende Informasjon
  7. US Department Of Labor
  8. Office Of Defects Investigation – deres hjemmeside Er det eneste som er defekt 🙂
  9. National Institutes Of Health
  10. Us Department Of Health & Menneskelige Tjenester
  11. Missouri Utenriksminister
  12. California Department Of Health Services
  13. Hawaii Department Of Commerce And Consumer Affairs
  14. IDL Astronomi Library Search
  15. Us Department of Health treasury
  16. California State legislature
  17. KONTOR For Ekstramural Forskning
  18. Helseinformasjon Ressursdatabase (health.gov)
  19. United States Postal Service jeg måtte hoppe gjennom noen avanserte skjemaer før jeg fant en jeg kunne bruke.
  20. North Dakota Legislative Branch

Mange Av Disse Nettadressene endte opp med å bli veldig lange og gnarly, muligens diskontere noen verdi de kan passere.

jeg ser noen mulige løsninger på problemet (Forutsatt at dette Er et problem)

  1. Alle disse nettstedene må informeres om utnyttelsen og begynne å validere forminngang. Dessverre er dette bare en rask liste jeg satt sammen i kveld, jeg er sikker på at det er tusenvis (om ikke millioner) av nettsteder der ute som er sårbare.
  2. SEs må de-verdi koblinger som finnes på et nettsted søkeresultatsiden (kanskje de allerede gjør dette ?). Disse utnyttelsene er ikke begrenset til søkeresultater, men; du kan gjøre dette på ET HTML-skjema som ikke var riktig validering av innspill.
  3. SEs kan i stor grad de-verdi koblinger som ikke er koblet til fra resten av området. Disse injiserte sidene er i hovedsak» flytere»: sider som ikke er koblet til hvor som helst på nettstedet, men har innkommende eksterne lenker. Gjør SEs allerede dette?
  4. de-verdi sider som inneholder HTML I URL (både kodet og ukodet), spesielt hvis den inneholder en koder.
  5. Tillat indeksering av alle former via roboter.txt eller en metakode. Igjen, dette vil kreve arbeid på .gov webmasters-delen, og endringer gjøres sannsynligvis med melassens hastighet (forutsatt at webavdelingene i regjeringen fungerer så sakte som resten av det).

hva synes dere alle? Ville disse injisert koblinger pass link kjærlighet eller er dette bare noe som søkemotorer allerede står for og er et ikke-problem?

SEO til side, dette kan også brukes til phishing-svindel. For eksempel kan en angriper bygge et falskt betalingsskjema på nasa.gov nettsted ber om $100.00 uansett grunn. Skjemaet VIL DA LEGGE TIL en annen server, betalingsdataene vil bli lagret, og da vil de bli videresendt tilbake til en annen utnyttet nasa.gov side med en» takk for din betaling » melding. Brukeren ville aldri vite at de hadde blitt lurt-skremmende å si mildt.

OPPDATERING (fra Rand): Vi opprinnelig trakk dette innlegget på bekymringer om at det kunne gnist juridiske problemer eller skape flere problemer da det bidro til å løse. Men etter samråd med flere folk, har vi besluttet at feiing problemet under teppet er mer skadelig enn å få det ut i det fri.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.