XSS – Hur får man 20 .gov länkar i 20 minuter

jag skulle vilja förorda detta inlägg genom att säga SEOmoz inte öva eller stödja blackhat SEO tekniker. Detta är inte avsett att vara en instruktions blackhat SEO artikel eller en lista över webbplatser som du bör alla gå dra nytta av. Målet med detta inlägg är snarare att ”ut” en betydande svaghet som kan utnyttjas av kunniga användare.

när jag läste EGOLS senaste inlägg på gov-länkar började jag brainstorming möjliga sätt att kreativt förvärva några. gov-länkar av min egen. Således föddes min första razzia i blackhat SEO-världen. För ungefär ett år sedan hörde jag om hur webmasters alla var rädda eftersom skadliga användare lätt kunde placera HTML-kod i sina formulärinmatningsrutor och manipulera markeringen på sina webbplatser (aka XSS) jag var nyfiken på hur svårt detta faktiskt var, så jag bestämde mig för att undersöka.

efter att ha kört en Yahoo-webbplats: kommando kunde jag få en lista med sökformulär från hundratals .gov-webbplatser. Jag använde webbutvecklarverktygsfältet för att konvertera HTML-formulärmetoder från POST till GET, vilket gör sökresultaten länkbara, infogade några HTML-taggar i sökrutorna och voila: jag hade 20 länkar från .gov-webbplatser som pekade på min webbplats. När dessa sidor skapades, i teorin allt jag skulle behöva göra är att länka till dem från olika andra domäner och de skulle så småningom få spidered och börja passera länk kärlek.

i listan nedan länkade jag bara till www.example.com (en domän reserverad för dokumentation-RFC 2606) och använde ankartexten ”Look, I made a link” för att göra länkarna uppenbara att upptäcka. Listan nedan visar de komprometterade sidorna:

  1. Environmental Protection Agency
  2. United States Department of Commerce
  3. NASA-den här var lite knepig, jag var tvungen att kasta in lite extra markup för att se till att HTML som gjordes inte var manglas. Till slut lyckades jag få en länk inbäddad i en jätte h1-tagg.
  4. Kongressbiblioteket-jag har till och med lagt till en bild av en kattunge som bär en vattenmelonhjälm
  5. US Securities and Exchange Commission
  6. officiell kalifornisk Lagstiftningsinformation
  7. US Department of Labor
  8. Office of Defects Investigation – deras hemsida är det enda som är defekt 🙂
  9. nationella institut för hälsa
  10. US Department of Health & mänskliga tjänster
  11. Missouri statssekreterare
  12. California Department of Health Services
  13. Hawaii Department of Commerce and Consumer Affairs
  14. IDL Astronomy Library Sök
  15. US Department of Health Treasury
  16. Kaliforniens lagstiftare
  17. office of extramural Research
  18. hälsoinformation Resursdatabas (health.gov)
  19. United States Postal Service jag var tvungen att hoppa igenom några avancerade former innan jag hittade en jag kunde använda.
  20. North Dakota lagstiftande gren

många av dessa webbadresser slutade vara mycket långa och gnarly, eventuellt diskontera något värde de kan passera.

jag ser några möjliga lösningar på problemet (förutsatt att detta är ett problem)

  1. alla dessa webbplatser måste informeras om utnyttjandet och börja validera formulärinmatning. Tyvärr är detta bara en snabb lista som jag sammanställt i kväll, Jag är säker på att det finns tusentals (om inte miljoner) webbplatser där ute som är sårbara.
  2. SEs behöver avvärdera länkar som finns på en webbplats sökresultatsida (kanske gör de redan det här?). Dessa exploater är dock inte begränsade till sökresultat; du kan göra det på alla HTML-formulär som inte validerade indata korrekt.
  3. SEs kan i hög grad avvärdera länkar som inte är länkade till från resten av webbplatsen. Dessa injicerade sidor är i huvudsak” floaters”: sidor som inte är länkade till någonstans på webbplatsen men har inkommande Externa länkar. Gör SEs redan detta?
  4. De-värde sidor som innehåller HTML I webbadressen (både kodade och okodade), särskilt om det innehåller en taggar.
  5. Tillåt inte indexering av alla former via robotar.txt eller en metatagg. Återigen skulle detta kräva arbete på. gov webmasters-delen och förändringar görs förmodligen med melassens hastighet (förutsatt att regeringens webbavdelningar arbetar så långsamt som resten av det).

vad tycker ni alla? Skulle dessa injicerade länkar passera länk kärlek eller är detta helt enkelt något som sökmotorer redan står för och är en icke-fråga?

SEO åt sidan, detta kan också användas för phishing-bedrägerier. Till exempel kan en angripare bygga ett falskt betalningsformulär på nasa.gov webbplats ber om $100.00 av någon anledning. Formuläret skulle sedan posta till en annan server, betalningsdata skulle lagras, och sedan skulle de vidarebefordras tillbaka till en annan utnyttjad nasa.gov sida med ett” tack för din betalning ” – meddelande. Användaren skulle aldrig veta att de hade blivit lurade – skrämmande minst sagt.

uppdatering (från Rand): Vi drog ursprungligen detta inlägg på oro för att det skulle kunna utlösa juridiska frågor eller skapa fler problem då det hjälpte till att lösa. Men efter samråd med flera personer har vi beslutat att sopa problemet under mattan är mer skadligt än att få ut det i det fria.

Lämna ett svar

Din e-postadress kommer inte publiceras.