URL Spoofing в GoogleBot, Yahoo! Slurp, Mozilla та Internet Explorer
23:52 29.04.2009На минулому тижні я писав про URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer (та в Yahoo! Slurp), яка також може бути в ботах інших пошуковців. Сьогодні я провів додаткові дослідження даної уразливості й виявив нові можливості для атаки з її використанням.
Як я вже зазначав, за допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду. А також даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.
Після того як Володимир Дубровін aka 3APA3A звернув мою увагу на можливість використання й інших символів для даної атаки, я вирішив детально перевірити це питання. В попередньому записі я писав про використання пробілу для URL Spoofing атаки, яку я також назвав склейка доменів (domain gluing).
І як я перевірив, окрім пробілу (%20) для даної атаки також можуть бути використані інші символи.
Mozilla підтримує: %00..%ff.
http://site.com%00www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
IE6 та IE7 підтримують: %20..%2d та %30..%ff.
http://site.com%20www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
При цьому IE при запиті до сайту або одразу заміняє url-encoded символи на їх звичайні еквіваленти, або взагалі прибирає їх (якщо ці символи не відображуються).
Зазначу, що якщо символи пробілу (%20) в адресах сайтів для проведення даної атаки я знаходив в пошуковцях (Гуглі та Яху), то використання інших символів я не зустрічав, тому невідомо чи підтримують індексацію подібних символів в назві доменів пошукові системи. Але потенційно їх можуть підтримувати і боти пошуковців (GoogleBot, Yahoo! Slurp та інші).
Також я вияснив, що можливість даної атаки також залежить від налаштувань веб сервера, який повинен підтримувати будь-які піддомени. Тобто не на кожному веб сайті можна провести дану атаку, а лише на відповідно налаштованих.
Зокрема окрім www.tab.net.ua, також дана атака можлива на www.engadget.com і www.poweroptimizer.com.
URL Spoofing:
Заіндексовано Google:
http://www.kp.ruget.com.20www.engadget.com
Схема: http://www.site.com%20www.engadget.com
Заіндексовано Yahoo:
http://www.energyopt.com.%20www.poweroptimizer.com
Схема: http://www.site.com%20www.poweroptimizer.com
Уразливий GoogleBot.
Уразливий Yahoo! Slurp.
Уразливі Mozilla 1.7.x та попередні версії.
Уразливі версії Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.0.6001.18000) та попередні версії. І потенційно IE8.
Четвер, 23:32 30.04.2009
Як я сьогодні дізнався, Safari 3.2.2 (Win32) також вразливий до даної атаки (з використанням більшості url-encoded символів з %00..%ff).
П'ятниця, 04:05 01.05.2009
You can read this advisory on English in The Web Security Mailing List: URL Spoofing vulnerability in bots of search engines #2.