XSS-How to get 20 .gov links in 20 minutes

Ik wil dit item graag voorafgaan door te zeggen dat SEOmoz geen blackhat SEO technieken beoefent of onderschrijft. Dit is niet bedoeld als een leerzame blackhat SEO artikel of een lijst van websites die u moet allemaal gaan profiteren van. Het doel van dit bericht is, eerder, om “out” een belangrijke zwakte die kan worden uitgebuit door slimme gebruikers.

tijdens het lezen van EGOL ‘ s recente post op gov links, begon ik te brainstormen over mogelijke manieren om creatief te verwerven een paar .gov links van mijn eigen. Zo werd geboren mijn eerste uitstapje in de wereld van blackhat SEO. Ongeveer een jaar geleden hoorde ik over hoe webmasters waren allemaal bang omdat kwaadaardige gebruikers gemakkelijk HTML-code kon plaatsen in hun vorm invoervakken en manipuleren van de markup op hun sites (aka XSS) ik was nieuwsgierig naar hoe moeilijk dit eigenlijk was, dus ik besloot om te onderzoeken.

na het uitvoeren van een Yahoo site: Commando kon ik een lijst krijgen met zoekformulieren van honderden .gov sites. Ik gebruikte de Web developer toolbar om HTML vorm methoden te converteren van POST te krijgen, het maken van de zoekresultaten link-staat, ingevoegd een paar HTML-tags in de zoekvakken, en voila: ik had 20 links van. gov websites wijzen naar mijn site. Zodra deze pagina ‘ s werden gemaakt, in theorie alles wat ik zou moeten doen is een link naar hen uit verschillende andere domeinen en ze zouden uiteindelijk spidered en start passerende link liefde.

in de lijst hieronder i alleen gekoppeld aan www.example.com (een domein gereserveerd voor documentatie – RFC 2606)en gebruikte de ankertekst “kijk, ik heb een link gemaakt” om de links duidelijk te maken. De lijst hieronder toont de gecompromitteerde pagina ‘ s:

  1. Environmental Protection Agency
  2. United States Department of Commerce
  3. NASA – dit was een beetje lastig, ik moest er wat extra opmaak bij doen om er zeker van te zijn dat de html die werd weergegeven niet verminkt was. Uiteindelijk slaagde ik erin om een link ingebed te krijgen in een gigantische H1 tag.
  4. the Library of Congress-ik heb zelfs een afbeelding toegevoegd van een kat met een watermeloenhelm
  5. US Securities and Exchange Commission
  6. Official California Legislative Information
  7. US Department of Labor
  8. Office of defecten Investigation-hun website is het enige dat defect is 🙂
  9. de Nationale Instituten van Gezondheid
  10. US Dept of Health & Human Services
  11. Missouri Staatssecretaris
  12. California Department of Health Services
  13. Hawaii Ministerie van Handel en consumentenzaken
  14. IDL Astronomie Bibliotheek Zoeken
  15. US Department of Treasury
  16. California State Legislature
  17. Kantoor van Extramurale Onderzoek
  18. Health Information Resource Database (health.gov)
  19. United States Postal Service die ik had om te springen door middel van een aantal geavanceerde formulieren voordat ik er een gevonden die ik kon gebruiken.
  20. North Dakota Legislative Branch

veel van deze URL ‘ s werden uiteindelijk erg lang en grof, waarbij mogelijk elke waarde die ze zouden passeren, werd verdisconteerd.

ik zie enkele mogelijke oplossingen voor het probleem (ervan uitgaande dat dit een probleem is)

  1. al die sites moeten worden geïnformeerd over de exploit en beginnen met het valideren van form input. Helaas is dit slechts een snelle lijst die ik vanavond heb samengesteld, ik weet zeker dat er duizenden (zo niet miljoenen) sites die er zijn die kwetsbaar zijn.
  2. de SEs moet de waarde van links die gevonden worden op een pagina met zoekresultaten van een site (misschien doen ze dit al?). Deze exploits zijn niet beperkt tot zoekresultaten, echter; u kunt dit doen op elk HTML-formulier dat niet goed was het valideren van invoer.
  3. de SEs kunnen koppelingen die niet gekoppeld zijn van de rest van de site sterk de waarde ontnemen. Deze geïnjecteerde pagina ‘ s zijn in wezen “floaters”: pagina ‘ s die nergens op de site zijn gekoppeld, maar inkomende externe links hebben. Doen de SEs dit al?
  4. De-waarde van pagina ‘ s die HTML in de URL bevatten (zowel gecodeerd als niet-gecodeerd), vooral als het een tags bevat.Indexering van formulieren via robots is niet toegestaan .txt of een meta tag. Nogmaals, dit zou werk aan de .gov webmasters deel en wijzigingen worden waarschijnlijk gemaakt met de snelheid van melasse (ervan uitgaande dat de webafdelingen van de overheid werken zo langzaam als de rest van het).

wat denken jullie allemaal? Zouden deze geïnjecteerde links passeren link liefde of is dit gewoon iets dat zoekmachines al rekening voor en is een non-issue?

SEO afgezien, dit kan ook worden gebruikt voor phishing. Bijvoorbeeld, een aanvaller kan een nep betaling formulier te bouwen op de nasa.gov website vragen om $ 100.00 om welke reden dan ook. Het formulier zou dan POST naar een andere server, de betalingsgegevens zou worden opgeslagen, en dan zouden ze teruggestuurd naar een andere uitgebuit nasa.gov pagina met een” bedankt voor uw betaling ” bericht. De gebruiker zou nooit weten dat ze bedrogen zijn – angstaanjagend op zijn zachtst gezegd.

bijwerken (van Rand): We oorspronkelijk trok dit bericht op zorgen dat het zou kunnen vonk juridische problemen of meer problemen dan het hielp oplossen. Echter, na overleg met verschillende mensen, we hebben besloten dat het vegen van het probleem onder het tapijt is schadelijker dan het krijgen van het in de openbaarheid.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.