Pozycjonowanie za pomocą XSS

[jemoon]

witam,

Czy próbował/testował ktoś może pozycjonowania przez XSS. Chodzi mi głównie o to jak na takie praktyki reaguje Google bo w sumie uzyskanie kilku linków np z domen rządowych o wysokim PR nie jest dużym problemem (np. Test).

[holee]

Jak ktoś ma za dużo pieniążków i go stać kary sądowne to może się w to bawić.

Nie pochwalam.

POzdrawiam

[cenzura]

Najlepsza metoda żeby się wypozycjonować do pierdla.

[Irek]

Może któryś z Was napisze, jaka kara grozi i na podstawie jakiego paragrafu za coś takiego?

[jemoon]

witam,

@holee & @Dupa_zbita Rozumiem, że nie wiecie jak to wygląda od strony praktyki - tego właśnie dotyczyło moje pytanie. Jeżeli chodzi o sankcje związane z odpowiedzialnością cywilną lub karną to wydaje mi się, że przede wszystkim atak taki musiałby spowodować ujawnienie jakichś informacji bądź też szkodę, a tu chyba (nie mam w tej kwestii zbytniego pojęcia) żadna szkoda nie zaistniała. Jeżeli jednak to możliwe to proszę raczej o podzielenie się informacjami dot. skutków takiego działania w kwestii budowy linków a nie w kwestiach prawnych.

[holee]

Może któryś z Was napisze, jaka kara grozi i na podstawie jakiego paragrafu za coś takiego?

Ja prawnikiem nie jestem, ale jeśli swoim działaniem narazimy kogoś na szkody to już popełniamy przestępstwo (wykroczenie ?).

A jeśli linki typu viagra pojawią się na stornach rządowych (np. na str. głównej) to chyba już możemy mówić o szkodzie.

Jeśli się mylę to mnie poprawcie.

Pozdrawiam

[Irek]

Taki link jest efektem złego działania skryptu strony, przecież fizycznie na stronie nikt takiego linku nie umieścił.

Wcześniej pisałeś o karach sądowych, a teraz nie wiesz?

informacjami dot. skutków takiego działania w kwestii budowy linków

Taki adres byś musiał linkować, a mało gdzie można wstawić "takie cudo".

Jak właściciel takiej strony to zauważy, to bardzo szybko poprawi skrypt strony (chyba ) i cała praca przepadnie.

[βασιλιάς]

przecież fizycznie na stronie nikt takiego linku nie umieścił.

Umieścił, na stronie generowanej dynamicznie. Ale udowodnienie kto doprowadził do zaindeksowania takiego adresu w wyszukiwarce jest raczej niemożliwe.

to bardzo szybko poprawi skrypt strony (chyba ) i cała praca przepadnie.

Nie poprawi, zazwyczaj takie błędy są poprawiane dopiero przy zmianie skryptu czy przebudowie całego serwisu.

Mam trochę takich linków z *.edu, niektóre istnieją od 2004 roku do teraz.

[Irek]

Umieścił, na stronie generowanej dynamicznie.

Nie umieścił, tylko wykorzystał takie a nie inne działanie skryptu strony. Czy twoim zdaniem pod tym adresem umieściłem będące tam linki do stron?

[βασιλιάς]

Nie, umieściłeś jedynie słowo "strony".

Dynamiczne umieszanie czystego tekstu (nie HTML) też czasami może być szkodliwe dla właściciela strony - może widziałeś kiedyś profesjonalne dynamiczne parasites - wstawione w URL kilka kB tekstu i kilkaset CR/LF żeby przesunąć właściwą treść w dół. W taki sposób swój content możesz hostować na innej domenie. A głupi Googlebot to zaindeksuje i potraktuje jak superwartościowy content bo jest na mocnej domenie.

Z technicznego punktu widzenia to oczywiście wina administratorów stron, którzy pozwalają na HTML, znaki nowej linii, nieskończoną długość w polach tekstowych pochodzących od użytkownika.

[Irek]

Nie będziemy się spierać o znaczenie słowa "umieścił" i "hostować". Dla mnie oznacza to fizyczną ingerencję. Nie o to chodzi w tym temacie.

Nie poprawi, zazwyczaj takie błędy są poprawiane dopiero przy zmianie skryptu czy przebudowie całego serwisu.

Do czasu, kiedy będzie to masowe działanie to zaczną się bardziej pilnować.

[pawloski]

Do czasu, kiedy będzie to masowe działanie to zaczną się bardziej pilnować.

tylko jak zaczną wykrywać coś takiego?

statystyki client-side GA, quantserve, extreme-tracking i inne? nie, bo do takich działań używam osobnej przeglądarki, gdzie mam noscript i wyłączony nagłówek referer

statystyki server-side awstats, analog, webalizer domyślnie ucinają ciąg adresu po ?, a ile stron ma to wyłączone? 0,01%?

access log serwera? czytałeś kiedykolwiek log serwera w poszukiwaniu xss?

operator site? jakiś student uniwersytetu czy instytucja rządowa sprawdza site swojej strony w google? poza tym site jest sortowane (prawie) od najkrótszego adresu do najdłuższego i takie pojawią się gdzieś poza top 1000, czyli wcale

jeszcze jest pełno stron podatnych na sql injection, można wstawić link na stałe (pozostanie nawet jak admin poprawi skrypt), powstawiałem takie w starych artykułach na stronach rządowych z indii i azerbejdżanu i są bardzo mocne

[Irek]

bo do takich działań używam osobnej przeglądarki, gdzie mam noscript

Nie wszystkie statystyki wykorzystują JavaScript. Strony mogą też mieć statystyki wyszukiwanych słów.

czytałeś kiedykolwiek log serwera w poszukiwaniu xss?

Nie muszę, mam do tego odpowiedni skrypt statystyk (własny).

jeszcze jest pełno stron podatnych na sql injection, można wstawić link na stałe (pozostanie nawet jak admin poprawi skrypt), powstawiałem takie w starych artykułach na stronach rządowych z indii i azerbejdżanu i są bardzo mocne

Niegdzie nie pisałem że obecnie jest to niemożliwe lub dobrze wykrywane.

Kiedy tak metoda stała by się naprawdę wykorzystywana na masową skalę, to sam rozgłos o tym doprowadzi do dokładniejszego sprawdzania przez administratorów tego co dzieje się na ich stronach.

[βασιλιάς]

Dodatkowo można się odbić od usługi nie-HTTP. Wiele serwerów FTP w odpowiedzi na np. LALALA odpowiada

500 LALALA not understood

Zamiast LALALA możesz wstawić <a href...> czy jakiś <script...> i podlinkować URL z błędnym protokołem (http zamiast prawdziwego ftp) i dopisanym ręcznie portem. Google taki link zaindeksuje jako część komunikatu o błędzie.

Ale jakby to się stało popularne, to pewnie admini serwerów FTP, telnet, IRC, strumieni multimedialnych i innych usług by zareagowali, bo jednak to śmieci w logach.

[shaun_black]

informacjami dot. skutków takiego działania w kwestii budowy linków

Taki adres byś musiał linkować, a mało gdzie można wstawić "takie cudo".

Wrzucam adres do e-weblinka i kto mnie namierzy?