Websecurity - Веб безпека

В продовження моїх досліджень уразливостей в пошукових системах, розповім вам про новий цікавий метод URL Spoofing атак, який я назвав URL Hiding. Який може бути використаний для проведення фішинг атак та розповсюдження шкідливого ПЗ (зокрема, він може застосовуватися разом з раніше описаними методами). Дану URL Hiding атаку я виявив в Google, але інші пошуковці також можуть бути вразливими.

В цьому місяці, 19.05.2009, під час пошуку в Гуглі, я виявив цікавий сайт, який в серпі не виводить URL. С подібними сайтами мені раніше доводилося стикатися під час користування Гуглом (з 2000 року), але це перший сайт, адресу якого я записав. Даний сайт це http://_-lilit-_.photosight.ru.

site:_-lilit-_.photosight.ru

У випадку, коли використовується URL Hiding разом з URL Spoofing методами, про які я писав раніше (коли робиться довгий URL, наприклад з використанням символа “_”), то це підвищує ефективність фішинг та інших атак. Тому що довгий і підозрілий URL не буде виведений в серпі пошукової системи, а коли користувач перейде по лінці, то він може не звернути увагу на URL (через використання URL Spoofing методів).

Як мені спочатку здалося, при використанні підкреслення (як у випадку http://_-lilit-_.photosight.ru), Гугл взгалі не виводить адресу в серпі. Але цього ефекту немає у випадку http://ane4ka-_.shalala.ru. Потенційно це проявляється лише у випадку, якщо першим символом домена є підкреслення.

Я провів численні дослідження шукаючи сайти з підкресленнями, які б не мали URL в серпі, але більше не знайшов таких сайтів (зате знайшов один цікавий баг в Гуглі). Тому метод атаки на Гугл для приховання адреси сайта в серпі може використовувати даний (з підкресленням на початку домена), або інший підхід. Але в будь-якому випадку URL Hiding атака є небезпечною, тому що дозволяє використовувати пошуковці (зокрема Гугл) для проведення фішинг та інших атак.

This entry was posted on 22:24 30.05.2009 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.