URL Spoofing в GoogleBot, Yahoo! Slurp, Mozilla та Internet Explorer

23:52 29.04.2009

На минулому тижні я писав про URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer (та в Yahoo! Slurp), яка також може бути в ботах інших пошуковців. Сьогодні я провів додаткові дослідження даної уразливості й виявив нові можливості для атаки з її використанням.

Як я вже зазначав, за допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду. А також даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.

Після того як Володимир Дубровін aka 3APA3A звернув мою увагу на можливість використання й інших символів для даної атаки, я вирішив детально перевірити це питання. В попередньому записі я писав про використання пробілу для URL Spoofing атаки, яку я також назвав склейка доменів (domain gluing).

І як я перевірив, окрім пробілу (%20) для даної атаки також можуть бути використані інші символи.

Mozilla підтримує: %00..%ff.

http://site.com%00www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

IE6 та IE7 підтримують: %20..%2d та %30..%ff.

http://site.com%20www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

При цьому IE при запиті до сайту або одразу заміняє url-encoded символи на їх звичайні еквіваленти, або взагалі прибирає їх (якщо ці символи не відображуються).

Зазначу, що якщо символи пробілу (%20) в адресах сайтів для проведення даної атаки я знаходив в пошуковцях (Гуглі та Яху), то використання інших символів я не зустрічав, тому невідомо чи підтримують індексацію подібних символів в назві доменів пошукові системи. Але потенційно їх можуть підтримувати і боти пошуковців (GoogleBot, Yahoo! Slurp та інші).

Також я вияснив, що можливість даної атаки також залежить від налаштувань веб сервера, який повинен підтримувати будь-які піддомени. Тобто не на кожному веб сайті можна провести дану атаку, а лише на відповідно налаштованих.

Зокрема окрім www.tab.net.ua, також дана атака можлива на www.engadget.com і www.poweroptimizer.com.

URL Spoofing:

Заіндексовано Google:

http://www.kp.ruget.com.20www.engadget.com
Схема: http://www.site.com%20www.engadget.com

Заіндексовано Yahoo:

http://www.energyopt.com.%20www.poweroptimizer.com
Схема: http://www.site.com%20www.poweroptimizer.com

Уразливий GoogleBot.

Уразливий Yahoo! Slurp.

Уразливі Mozilla 1.7.x та попередні версії.

Уразливі версії Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.0.6001.18000) та попередні версії. І потенційно IE8.


2 відповідей на “URL Spoofing в GoogleBot, Yahoo! Slurp, Mozilla та Internet Explorer”

  1. MustLive каже:

    Як я сьогодні дізнався, Safari 3.2.2 (Win32) також вразливий до даної атаки (з використанням більшості url-encoded символів з %00..%ff).

  2. MustLive каже:

    You can read this advisory on English in The Web Security Mailing List: URL Spoofing vulnerability in bots of search engines #2.

Leave a Reply

You must be logged in to post a comment.