Nechte Googleboty pracovat za Vás

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: ScheRas
Datum: 6.11.2013
Hodnocení/Hlasovalo: 1/5

Daniel Cid ze společnosti Sucuri se na blogu rozepsal o tom, jak lze využít Googleboty k nabourávání internetových stránek.

Před nedávnem se Daniel údajně setkal s tím, že bezpečnostní mechanismy jeho bezpečnostního řešení pro cloud zablokovalo ip adresy Googlebotů. Když začali pátrat po příčině, zjistili, že z ip adres Googlu přichází desítky požadavků, které ve skutečnosti útočí na stránky pomocí SQL Injection.

66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q%20varchar
(8000(%20select%20@q%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-" "Mozilla/5.0 
(compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

Příklad takového požadavku (Z bezpečnostních důvodů upraveno)

Představme si útočníka, který se jmenuje třeba John. John tráví své dny procházením internetu a hledáním zranitelností ve webových prezentacích. Podaří se mu najít několik zranitelných stránek, ale má strach, že by mohl být vystopován. Je si velice dobře vědom toho, že k tomu, aby byl úspěšný cracker, musí umět skrýt svou stopu.

První věc, kterou správce webu po napadení udělá je, že projde logy. John to ví. Předpokládejme také, že při hledání zranitelností nezanechal žádnou stopu. John tedy zná slabinu webu B, řekněme že se jedná o RFI.

John jde tedy na svojí (nebo cizí) stránku A, kam přidá "super cool" články o koťátkách a štěňátkách. Do zápisků ovšem vloží i pečlivě připravené odkazy, které pro čtenáře nejsou vidět, ale které bot určitě navštíví. Bot po navštívení těchto skrytých odkazů vlastně provede útok za Johna, který si tím dost dobře zaručí anonymitu.