XSS – How to get 20 .gov links in 20 minutes

chciałbym poprzedzić ten wpis, mówiąc, że SEOmoz nie ćwiczy ani nie popiera technik SEO blackhat. Nie jest to artykuł instruktażowy blackhat SEO ani lista stron internetowych, z których wszyscy powinni skorzystać. Celem tego postu jest raczej „wyeliminowanie” znaczącej słabości, którą mogą wykorzystać doświadczeni użytkownicy.

czytając Ostatni post Egola na temat linków gov, zacząłem burzę mózgów możliwych sposobów na twórcze pozyskanie kilku własnych linków. gov. Tak narodził się mój pierwszy wypad do świata blackhat SEO. Około rok temu usłyszałem o tym, jak webmasterzy byli przerażeni, ponieważ złośliwi użytkownicy mogli łatwo umieścić kod HTML w swoich polach wejściowych formularza i manipulować znacznikami na swoich stronach (aka XSS) byłem ciekaw, jak trudne to było w rzeczywistości,więc postanowiłem zbadać.

po uruchomieniu polecenia Yahoo site: udało mi się uzyskać listę formularzy wyszukiwania z setek stron .gov. Użyłem paska narzędzi programisty do konwersji metod formularzy HTML z POST, aby uzyskać, dzięki czemu wyniki wyszukiwania są linkowane, wstawiłem kilka znaczników HTML do pól wyszukiwania i voila: miałem linki 20 ze stron internetowych .gov wskazujących na moją stronę. Po utworzeniu tych stron, teoretycznie wszystko, co muszę zrobić, to połączyć się z nimi z różnych innych domen, a w końcu zostaną spidered i zaczną przekazywać link love.

na poniższej liście linkowałem tylko do www.example.com (domena zarezerwowana dla dokumentacji – RFC 2606) i użył anchor text „Look, I made a link”, aby linki były oczywiste do wykrycia. Poniższa lista pokazuje skompromitowane strony:

  1. Environmental Protection Agency
  2. United States Department of Commerce
  3. NASA-to było trochę trudne, musiałem dorzucić dodatkowe znaczniki, aby upewnić się, że renderowany kod HTML nie został zniekształcony. W końcu udało mi się uzyskać link osadzony wewnątrz gigantycznego tagu h1.
  4. Biblioteka Kongresu – dodałem nawet zdjęcie kotka w kasku arbuzowym
  5. amerykańska Komisja Papierów Wartościowych i Giełd
  6. oficjalne informacje legislacyjne w Kalifornii
  7. Departament Pracy USA
  8. Office of Defects Investigation – ich strona internetowa jest jedyną wadliwą rzeczą 🙂
  9. National Institutes of Health
  10. US Dept of Health & Human Services
  11. Missouri Secretary of State
  12. California Department of Health Services
  13. Hawaii Department of Commerce and Consumer Affairs
  14. IDL Astronomy Library Search
  15. US Department of skarb państwa
  16. legislatura stanu Kalifornia
  17. Biuro Badań pozamałżeńskich
  18. baza danych zasobów informacji o zdrowiu (health.gov)
  19. United States Postal Service musiałem przejść przez kilka zaawansowanych formularzy, zanim znalazłem jeden, z którego mógłbym skorzystać.
  20. North Dakota Legislative Branch

wiele z tych adresów URL skończyło się na bardzo długim i szorstkim, prawdopodobnie dyskontując każdą wartość, którą mogą przekazać.

widzę kilka możliwych rozwiązań problemu (zakładając, że jest to problem)

  1. wszystkie te strony muszą zostać poinformowane o exploicie i rozpocząć walidację danych wejściowych formularza. Niestety jest to tylko szybka lista, którą zebrałem dziś wieczorem, jestem pewien, że istnieją tysiące (jeśli nie miliony) witryn, które są podatne na zagrożenia.
  2. ses musi usunąć linki, które znajdują się na stronie wyników wyszukiwania witryny (może już to robią?). Te exploity nie są jednak ograniczone do wyników wyszukiwania;możesz to zrobić w dowolnym formularzu HTML, który nie był poprawnie sprawdzany.
  3. SEs może znacznie zmniejszyć wartość linków, które nie są połączone z resztą witryny. Te wstrzyknięte strony są zasadniczo „floaterami”: stronami, które nie są powiązane z żadnym miejscem na stronie, ale mają przychodzące Linki zewnętrzne. Czy SEs już to robią?
  4. strony pozbawione wartości, które zawierają HTML w adresie URL (zarówno zakodowane, jak i niezakodowane), szczególnie jeśli zawierają tagi.
  5. nie zezwala na indeksowanie jakichkolwiek formularzy za pomocą robotów.txt lub meta tag. Ponownie wymagałoby to pracy nad częścią webmasterów. gov i zmiany są prawdopodobnie dokonywane z prędkością melasy (zakładając, że działy internetowe rządu działają tak wolno, jak reszta).

co myślicie? Czy te wstawione linki pass link love czy jest to po prostu coś, co Wyszukiwarki już rozliczają i jest nie problem?

pomijając SEO, może to być również wykorzystane do oszustw phishingowych. Na przykład atakujący może zbudować fałszywy formularz płatności na nasa.gov strona internetowa z prośbą o $100.00 z jakiegokolwiek powodu. Formularz zostanie wysłany na inny serwer, dane dotyczące płatności będą przechowywane, a następnie zostaną przekazane z powrotem do innego nasa.gov strona z Komunikatem „dziękujemy za płatność”. Użytkownik nigdy nie dowie się, że został oszukany-co najmniej przerażające.

Aktualizacja (od Rand): Pierwotnie wyciągnęliśmy ten post na obawy, że może to wywołać problemy prawne lub stworzyć więcej problemów, a następnie pomogło rozwiązać. Jednak po konsultacji z kilkoma osobami zdecydowaliśmy, że zamiatanie problemu pod dywan jest bardziej szkodliwe niż wydostanie go na zewnątrz.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.