XSS Lücke bei der NASA

3. Februar 2007 von in Sicherheit

XSS ist einer der größten Fehler moderner Webapplikationen. Ausgesprochen Cross Site Scripting heißt so viel wie Schadcode in vertrauensvolle Websites einbinden, die dann als Mittelspieler fungieren.

Die Nasa bietet eine nette XSS-Lücke, die man gut für SEO nutzen kann. Wie wir ja wissen mag Google Regierungsbacklinks und stuft diese sehr gut ein. Was liegt also näher als diesen Umstand mit der Nasa durchzuführen:

Zur Nasa

Bei dem Beispiel wird einfach die URL (die Google eigentlich egal ist) per GET Parameter übergeben und in die Seite eingebunden. Fertig ist ein hochwertiger Backlink. Mir kommt gerade die Idee auf die Suche nach solchen Lücken zu gehen um starke Backlinks zu erhalten :D

Idee des Ganzen ist durch einen Artikel von Anwälte in Vulkane werfen entstanden.

Share

3 Kommentare

  1. Gerald Mann
    3. Februar 2007 um 17:07

    Hi,

    also die Standartverlinkung wäre dann bei meiner Seite:
    http://environment.arc.nasa.gov/leaving.php?page=http://gerald-mann.com

    funktioniert auch wenn man sie Codiert:
    http://environment.arc.nasa.gov/leaving.php?page=%68%74%74%70%3A%2F%2F%67%65%72%61%6C%64%2D%6D%61%6E%6E%2E%63%6F%6D

    Ich denke das wäre wenn dann die bessere Lösung.

    PS für Visualhype wäre es %68%74%74%70%3A%2F%2F%76%69%73%75%61%6C%68%79%70%65%2E%64%65

  2. Robert
    3. Februar 2007 um 18:03

    Warum wäre es besser diese zu kodieren? Slash und Doppelpunkt (einzigen Sonderzeichen) sind doch legitim um als Variableninhalt mitgesendet zu werden.

    Und das Google Unicode nicht auflösen kann wage ich zu bezweifeln ;)

    Ich habe mir allerdings schon überlegt, ob Google evtl. einen Mechanismus eingebaut hat der prüft ob ein Link auf eine Seite exakt den selben Inhalt beinhaltet wie auf der Seite vorhanden. Eben um XSS zu verhindern. Allerdings gibt es das relativ oft, dass sich der Inhalt der URL im Kontext der Seite wiederfindet also wäre das egal und ich denke über diesen Gedanken bist Du dazu gekommen, die URL zu "verschlüsseln".

  3. Crazy ED
    31. Mai 2007 um 22:09

    >> Und das Google Unicode nicht auflösen kann wage ich zu bezweifeln

    Nun ja, auch das hat Grenzen, vermischt man Unicode mit normalen Zeichen, hat man mit gutem Glück eine Chance, nicht erwischt zu werden. Und der Nasa BL, nun ja, den hat fast jeder, ich hab das schon 30mal in SEO Blogs gelesen, da wird google sicher schon blockiert haben (leider). Ist XSS eigentlich blackhat, wohl schon – oder dunkelgrau :)

Diesen Artikel kommentieren