URL Hiding - новий метод URL Spoofing атак
22:24 30.05.2009В продовження моїх досліджень уразливостей в пошукових системах, розповім вам про новий цікавий метод URL Spoofing атак, який я назвав URL Hiding. Який може бути використаний для проведення фішинг атак та розповсюдження шкідливого ПЗ (зокрема, він може застосовуватися разом з раніше описаними методами). Дану URL Hiding атаку я виявив в Google, але інші пошуковці також можуть бути вразливими.
В цьому місяці, 19.05.2009, під час пошуку в Гуглі, я виявив цікавий сайт, який в серпі не виводить URL. С подібними сайтами мені раніше доводилося стикатися під час користування Гуглом (з 2000 року), але це перший сайт, адресу якого я записав. Даний сайт це http://_-lilit-_.photosight.ru.
У випадку, коли використовується URL Hiding разом з URL Spoofing методами, про які я писав раніше (коли робиться довгий URL, наприклад з використанням символа “_”), то це підвищує ефективність фішинг та інших атак. Тому що довгий і підозрілий URL не буде виведений в серпі пошукової системи, а коли користувач перейде по лінці, то він може не звернути увагу на URL (через використання URL Spoofing методів).
Як мені спочатку здалося, при використанні підкреслення (як у випадку http://_-lilit-_.photosight.ru), Гугл взгалі не виводить адресу в серпі. Але цього ефекту немає у випадку http://ane4ka-_.shalala.ru. Потенційно це проявляється лише у випадку, якщо першим символом домена є підкреслення.
Я провів численні дослідження шукаючи сайти з підкресленнями, які б не мали URL в серпі, але більше не знайшов таких сайтів (зате знайшов один цікавий баг в Гуглі). Тому метод атаки на Гугл для приховання адреси сайта в серпі може використовувати даний (з підкресленням на початку домена), або інший підхід. Але в будь-якому випадку URL Hiding атака є небезпечною, тому що дозволяє використовувати пошуковці (зокрема Гугл) для проведення фішинг та інших атак.
Понеділок, 16:26 01.06.2009
You can read this article on English at my site or in The Web Security Mailing List: URL Hiding - new method of URL Spoofing attacks.