Utilizzare XSS per fare SEO

Per SEO (Search Engine Optimization) si intendono tutte quelle tecniche (lecite e meno lecite) atte a migliorare il posizionamento, in base a determinate keywords, di un certo dominio sui motori di ricerca.

Già da molto tra esperti in “Web Application Security” e “black hat SEO” si discuteva dell’argomento senza nessuna pubblicazione ufficiale fino a quando XssNews ha reso noto il risultato di un test che ha visto come obiettivo quello di indicizzare un testo generato tramite un XSS (Cross-Site Scripting) sul dominio hackerwatch.org
L’esito dell’esperimento è stato positivo tanto che MSN e Google hanno indicizzato correttamente la stringa.
Google sembra però aver già tolto la pagina di HackerWatch utilizzata per il test, mentre su MSN risulta ancora indicizzata.

L’obiettivo adesso è quello di capire se, oltre al testo, vengono indicizzati pure i link generati tramite XSS. Poter ottenere link in ingresso da domini con alto PageRank grazie alla segnalazione a Google di URL contenenti XSS appositamente costruiti potrebbe far gola a molti, soprattutto ai black hat SEO.

Sono rimasto stupito dal comportamento di MSN e Google; credevo avessero dei filtri per evitare questo tipo di abusi.

 

XWW: Cross Webmail Worm

Nduja connection, questo è il nome del primo worm capace di replicarsi su webmail di diversi provider tramite codice JavaScript. Il suo scopo, come lo stesso Rosario Valotta scrive, “è soltanto quello di documentare ed evidenziare le possibili nefaste conseguenze derivanti da una mancata presa di coscienza della pericolosità delle falle XSS, soprattutto se presenti in servizi con una massa critica di utenti come appunto le webmail.”

Il worm infatti sfrutta vulnerabilità XSS (Cross-site Scripting) presenti nelle applicazioni che gestiscono le webmail di Libero.it, Tiscali.it, Lycos.it e Excite.com. Le vulnerabilità segnalate da Rosario si trovano nella parte dell’applicazione che si occupa di visualizzare il contenuto di ogni e-mail. In questo modo la vittima dovrà solamente aprire una mail appositamente confezionata per innestare il meccanismo di propagazione del worm.

Non so più quante volte mi è capitato di sentire amici/conoscenti/colleghi consigliare l’uso delle webmail al classico client standalone come Outlook o Thunderbird in quanto più sicure contro virus e phishing. Finalmente una prova concreta che smentisce questa tesi; non voglio pensare ad attacchi di phishing basati su vulnerabilità XSS all’interno di Webmail.

Ovviamente un worm di questo tipo potrebbe essere usato, oltre che per il furto di identità, anche per Botnet di nuova generazione: invio di spam, portscan su larga scala, ricerca di vulnerabilità su altri domini in maniera semi automatizzata, ecc..

Non vedo frase più consona di quella scritta nel libro “Xss Attacks“:

XSS is the New Buffer Overflow, JavaScript Malware is the new shell code.

E’ in casi come questo che i provier si dovrebbero accorgere della pericolosità di attacchi basati su XSS (Cross-site Scripting).

Faccio i miei complimenti a Rosario per l’ottimo lavoro svolto, non sicuramente invano.

 

Net&System Security 2007: analisi e vulnerabilità dei sistemi informatici

Net and System security@Systemgroup, una collaborazione tra @System e Bitflow, organizza il V Convegno Net&System Security – analisi e vulnerabilità dei sistemi informatici. L’evento avrà luogo il 27 Novembre 2007 presso il Palazzo dei Congressi di Pisa, e vedrà la partecipazione di alcuni esperti e delle maggiori aziende leader del settore della sicurezza informatica.

Nell’ambito del convegno si terra’ la seconda edizione del Call For Paper, per cui sono previste due categorie di partecipazione; “Professional” e “Student”.

Tutti i paper selezionati saranno inseriti negli atti del convegno ed avranno il valore di una pubblicazione scientifica. Inoltre, agli autori dei migliori elaborati sara’ data la possibilità di presentarli durante l’evento.

Al vincitore di ogni categoria sarà assegnato il riconoscimento come “Best Paper Award”, e per l’autore dell’elaborato piu’ meritevole della categoria “Student” è prevista l’assegnazione di un celluare Linux-Based “Neo1973 Advanced Edition” .

La partecipazione al CfP è gratuita. Maggiori informazioni sono disponibili alla sezione dedicata presente sulla pagina web del convegno.

 

Ricevo spam ma “Mi sento fortunato”

Stavo dando un occhiata alla cartella dello spam sul client di posta quando una e-mail attira la mia attenzione:

From: “Glover, Erica” <Spivey6Z@powerplantsystems.com>
To: [random_name]@gmail.com
Date: Sun, 08 Jul 2007 23:39:17 -0500
Subject: Refiance Approval. Sun, 08 Jul 2007 23:39:17 -0500

L’intestazione di per se non ha niente di particolare, è il corpo ad avermi incuriosito:

Please complete your application Sun, 08 Jul 2007 23:39:17 -0500

Tired of paying high interest rates?

Refinaance us lowest rate.

http://www.google.com/search?hl=en&q=easyratemortage+100%+mortgage+refinance&btnI=04Yi9N5jkF

“Absence and death are the same – only that in death there is no suffering.” Theodore Roosevel

La mail non contiene nessuna allegato, la cosa interessante però è il link proposto al destinatario, il quale potrebbe indurre quest’ultimo a fidarsi vedendo il nome di Google.

I furbetti di turno hanno prima fatto indicizzare da Google il sito Web che ospita le pagine di spam, dopodichè hanno individuato quali keywords proponevano, nella lista dei risultati del motore di ricerca, come primo risultato il sito in questione. A questo punto hanno creato una URL che restituisse un codice HTTP (302) di redirect verso il sito di spam servendosi della funzione “Mi sento fortunato” (o nella sua versione inglese “I’m Feeling Lucky”).
Analizzando l’URL si nota il parametro “btnI”, utilizzato da Google proprio per identificare una ricerca di tipo “Mi sento fortunato”. Piccola nota: il parametro può essere valorizza a piacimento.

Confrontando alcune e-mail sono arrivato alla conclusione che in ciascuna viene modificato il soggetto, la parte finale del corpo e il valore del parametro “btnI” dell’URL.