Как сa се случили последните „хаквания“ и как да се предпазите?
февруари 10, 2016 Сигурност Пламен

От няколко дни насам навсякъде в социалните мрежи може да видим, че са „хакнали“ сайтовете на някои от държавните институции. Кликаме на линка, съдържащ техния домейн, и на техните сайтове излизат пародийни снимки, които наистина няма как администраторите им да качат от морална и политическа гледна точка. Това всъщност не е толкова сложен хак, а по-скоро пропуск в кода на програмистите, които са ги правили.

Какъв е пропускът?


Пропускът е, че програмистите не са направили така наречения ескейп (escape) на HTML кода на резултата от търсенето на търсачките на самите сайтове. Този ескейп се прави обикновено за всички input полета на сайтовете (контактни форми, бюлетини, търсачки и други). Този ескейп подсигурява, че дори и да се въведе някакъв програмистки код в полето, той няма да се отрази на търсенето, сайта или базата данни.

Какъв е хакът в тези случаи?


Нека разгледаме URL-a, на примерен хакнат сайт:

https://www.hackeddomain.com/search.htm?txt=<img+src%3D“https%3A%2F%2Fwww.externaldomainnn.com%2Fi%2F2016%2F02%2F09%2Ftz.jpg“>

https – това е SSL сертификата на сайта (прочети какво е SSL – тук)

www.hackeddomain.com – това е реалният домейн на потърпевшия

search.htm  – това е частта, от URL-a, която показва, че се намирате на страница „резултати от търсене“

?txt= – това е параметъра, който съдържа информация за това какво се търси

<img+src%3D“https%3A%2F%2Fwww.externaldomainnn.com%2Fi%2F2016%2F02%2F09%2Ftz.jpg“> – това е HTML код за извикване на изображение от външен сайт

Когато има ескейп на html кода за input полетата на един сайт – то този код не би работил. Може да опитате да въведете този код на нашата търсачка – ще Ви излезе, че няма намерени такива резултати. Но ако няма такъв ескейп, то всеки може да напише този код и да извика изображение по свое желание от външен сайт. Реално тези снимки ги няма качени в базите на сайтовете на съответните институции и до тях може да се достъпи само със съответния линк.

Вече след като знаете за този пропуск, може да погледнете дали го няма и на Вашия сайт и ако имате притеснения – може да се свържете с нас.

Предишна Следваща
Тагове
За автора
plamen
Пламен Пламен е управител на Евинат ООД - компания специализирана в изработката на уеб сайтове и уеб приложения. Пламен участва и в няколко проекта със социален характер, един от които е Уебинки.
Email: plamen@evinat.com
Website: http://www.webinki.com
Top