URL Spoofing в GoogleBot, Mozilla та Internet Explorer

23:55 23.04.2009

В минулому році я виявив URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer. Якщо про уразливості в браузерах я пишу часто і сам знаходжу їх регулярно, як DoS уразливості в Firefox та Opera та Нова DoS уразливість в Internet Explorer, то уразливість в боті пошукової системи, в даному випадку GoogleBot, я знайшов уперше. Боти інших пошукових систем також можуть бути вразливі.

Звичайно боти (павуки) Google та інших пошуковців можуть заіндексувати важливу інформацію, яка потім буде знайдена через Гугл Хакінг. Але це природня особливість ботів пошуковців, а в даному випадку має місце URL Spoofing уразливість.

Дану уразливість я виявив ще в листопаді 2008 року (як почав користуватися сайтом tab.net.ua). За допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду.

URL Spoofing:

http://www.site.com%20www.site2.com

При використанні символу пробіл, можна підробити адресу сайта в адресному рядку. Треба спочатку задати підробну адресу http://www.site.com, потім поставити %20 (один або більше), а потім www.site2.com. В результаті браузер покаже в адресному рядку сконструйовану адресу, але при цьому перейде на сайт http://www.site2.com.

http://www.siiiiiiiiiiiiiiiiiiiite.com%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20www.site2.com

Символів пробіл (в url-encoded формі - %20) повинно бути не більше 19, бо інакше Mozilla видасть повідомлення про помилку. При цьому в IE з даним символом немає жодних проблем і можна використовувати більшу кількість пробілів. В Мозілі ж для приховання справжньої адреси (щоб вона в адресний рядок не помістилася) можна використати додаткові символи в адресі першого сайта, що також можна зробити і в IE.

Уразливість GoogleBot полягає в тому, що він підтримує та індексує подібні адреси, а уразливість Mozilla та IE, що вони дозволяють зайти на подібні адреси. До даної атаки вразливі GoogleBot, Mozilla 1.7.x та IE6. Нові браузери, такі як Firefox 3, Opera 9 та Chrome невразливі.

Реальний приклад даної атаки (проіндексований Гуглом).

URL Spoofing:

http://www.infostore.org%20www.tab.net.ua/sites/files/site_name.FILMI_V_DVDRip/id.67045/

До речі, даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.

Уразливий GoogleBot.

Уразливі Mozilla 1.7.x та попередні версії.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8.

P.S.

Як я перевірив Yahoo! Slurp (бот Yahoo) також уразливий.


4 відповідей на “URL Spoofing в GoogleBot, Mozilla та Internet Explorer”

  1. MustLive каже:

    На tab.net.ua є чимало подібних сторінок.

    inurl:www.infostore.org inurl:www.tab.net.ua - за даними Гугла на Табі є до 12100 сторінок, що використовують дану URL Spoofing уразливість.

  2. MustLive каже:

    Як я сьогодні дізнався, в Internet Explorer 7 (7.0.6001.18000) дана URL Spoofing уразливість також працює.

  3. MustLive каже:

    You can read this advisory on English in The Web Security Mailing List: URL Spoofing vulnerability in bots of search engines.

  4. MustLive каже:

    Як я сьогодні дізнався, Safari 3.2.2 (Win32) також вразливий.

Leave a Reply

You must be logged in to post a comment.