Menu
Reported Attack Site

Ako môže externý obsah uškodiť vášmu webu vo vyhľadávači Google

Máte na webe formulár na pridávanie obsahu – diskusných príspevkov, hodnotení či odkazov? Mnoho takýchto formulárov na populárnych slovenských weboch nie je podľa nášho testu zabezpečených pred vložením škodlivého kódu. Obsah vložený neznámym človekom tak môže spôsobiť priamy pokles návštev webovej stránky, prípadne aj penalizáciu vyhľadávačmi vrátane straty pozícií.

Takéto varovanie prehliadača odradí množstvo užívateľov:

blocked

Obrázok č.1: Upozornenie od prehliadača Firefox

Upozornenie od vyhľadávača Google

Obrázok č.2: Upozornenie od prehliadača Google Chrome

Zabezpečenie vybraných katalógov,  webov s PR článkami a porovnávačov cien som testoval pridávaním jednoduchého útržku Javascriptu a HTML kódu do polí jednotlivých formulárov.

Čo môže spôsobiť cudzí HTML kód?

Popri nevinnom texte je možné, pokiaľ tomu rozhranie nebráni, pridanie cudzieho HTML kódu, napr. iframe. Tento vnorený rám sa na stránke zobrazuje ako prázdny odĺžnik so zadefinovanými rozmermi. Zároveň je mu možné priradiť množstvo atribútov, najpodstatnejší je URL adresa.

Pri testovaní stránok na tvorbu iframu som použil nasledujúci HTML kód:

<iframe src=“http://pocasie.pozri.sk/predpoved-pocasia/bratislava.htm“ width=“300″ height=“150″ align=“center“></iframe>

Tým som na webe vytvoril v danej sekcii vycentrovaný rám s rozmermi 300 x 150 zo stránky pocasie.pozri.sk. Avšak, ak by ste webu chceli pomocou pridania iframu uškodiť, s vysokou pravdepodobnosťou uspejete. Stačilo by na webovú stránku vložiť do iframu stránku, ktorú vyhľadávač Google vyhodnotil ako potenciálne nebezpečnú (napr. obsahujúcu malware) a nalinkovať na ňu, pre istotu, na viacerých miestach na danom webe. Dočasne by ste tak mohli ovplyvniť návštevnosť a v prípade dlhodobého pôsobenia oslabiť pozície vo vyhľadávaní. Pokiaľ potom problém majiteľ webu neodstráni, vyhľadávač Google môže stránku penalizovať a nezobrazovať.

Cudzí Javascript je ešte nebezpečnejší

Povolené pridanie Javascriptu na webovú stránku je z hľadiska webmastera mimoriadne nebezpečné. Javascript ponúka značné možnosti a na nezabezpečenom webe môže napáchať veľa škody. V jednotlivých sekciách sa môžete presvedčiť o tom, čo všetko je možné urobiť.

Podarilo sa mi otestovať presmerovanie podstránky webu na iný web, „zaheslovať“ podstránky, pridať odkaz cez kľúčové slovo alebo zmeniť pozadie webovej stránky. Pri Javascripte je možné napr. presmerovať podstránku na škodlivý web, čo prispeje k zníženiu návštevnosti a potenciálnym problémom vo vyhľadávačoch.

Internetové katalógy

Pri internetových katalógoch sa zrodila myšlienka tohto článku – začalo to získaním odkazu z jedného veľmi špecializovaného katalógu. Tento katalógový web mal URL odkaz spoplatnený v rámci balíčka. Neskôr som si všimol, že administrátor katalógu do poľa „web stránka“ iba jednoducho zadal HTML kód.

Tu som si uvedomil možné zneužitie Javascript a HTML kódu. Z niekoľkých testovacích webov približne každý tretí umožňoval pridať HTML kód  alebo Javascript vložením do formulára.

Internetový katalóg č.1

Pozrel som sa na jeden z katalógov a otestoval vloženie obsahu. Podarilo sa mi zmeniť pozadie na webe na čierne a využiť HTML tagy na vytvorenie odkazu.

Obrázok č.3: Prvý zraniteľný katalóg

Obrázok č.3: Prvý zraniteľný katalóg

Internetový katalóg č.2

Pri testovaní som narazil na ďalší nezabezpečený všeobecný internetový katalóg, podarilo sa mi pridať iframe a fungovalo aj vloženie odkazu. Na tomto katalógu bolo zaujímavé to, že z iframe presmeroval inú webovú stránku na svoju adresu a teda v iframe zobrazil iba sám seba.

Obrázok č.4: Druhý zraniteľný katalóg

Obrázok č.4: Druhý zraniteľný katalóg

Internetový katalóg č.3

Pri tomto sa mi podarilo okrem iframe a vloženia odkazu zmeniť farbu pozadia podstránky na čiernu.

Obrázok č.5: Tretí zraniteľný katalóg

Obrázok č.5: Tretí zraniteľný katalóg

Cenové vyhľadávače

Otestoval som celkovo šesť náhodne vybraných cenových porovnávačov, pričom dva sú zraniteľné, jeden kriticky. Pozrime sa na nasledujúce obrázky:

Cenový vyhľadávač č.1

Pomocou HTML a tagu iframe som na web pridal okno s počasím zo stránky pocasie.pozri.sk. Cez Javascript som zmenil pozadie na podstránke na čiernu farbu a tiež sa mi ju podarilo aj celú presmerovať na ľubovoľný web či „zaheslovať“! Je to jednoznačne najzraniteľnejší web z môjho testovania.

Obrázok č.6: Prvý zraniteľný cenový vyhľadávač

Obrázok č.6: Prvý zraniteľný cenový vyhľadávač

Cenový vyhľadávač č. 2:

Tu sa mi podarilo pridať iframe s pocasie.pozri.sk, zmeniť farbu pozadia webu a taktiež pridať odkaz. Presmerovať web ani „zaheslovať“ stránku sa mi tentokrát nepodarilo.

Obrázok č.7: Prvý zraniteľný cenový vyhľadávač - zaheslovanie

Obrázok č.7: Prvý zraniteľný cenový vyhľadávač

Weby s PR článkami

Weby s PR článkami nedopadli o nič lepšie, pričom som ich skúšal len pár. Vyše polovica bola zraniteľná cudzím obsahom, navyše jeden mimoriadne kriticky.

PR web č. 1

Tento web vykázal aj iné chyby, po vložení môjho testovacieho kódu na web, sa objavila akási testovacia verzia. Časť článku vykazovala chybovú hlášku 404, pričom ho vyhľadávač Google normálne indexoval aj s touto „chybovou hláškou“. Na webe sa mi podarilo zmeniť pozadie, pridať iframe a taktiež odkaz.

Obrázok č.8: Prvý zraniteľný PR web

Obrázok č.8: Prvý zraniteľný PR web

PR web č. 2

Tento PR web je druhý najzraniteľnejší z môjho testovania, pričom poskytuje PR služby rádovo až v stovkách eur. Podarilo sa mi tu uspieť so všetkými druhmi testov – akceptoval pridanie iframe, zmenu pozadia, pridanie odkazu, „zaheslovanie“ podstránky a aj presmerovanie podstránky.

Obrázok č.9: Druhý zraniteľný PR web

Obrázok č.9: Druhý zraniteľný PR web

Obrázok č.10: "Zaheslovanie" podstránky webu hádankou

Obrázok č.10: „Zaheslovanie“ podstránky webu hádankou

Mimochodom: Poznáte odpoveď na moju hádanku z posledného obrázku? Ale bez googlenia! ;)

Ako sa brániť proti vkladaniu obsahu?

Zaujímajte sa o to, ako si poradí váš systém na správu webu s externým obsahom. Vhodné je používať systémy, ktoré sú dlhodobo vyvíjané a majú pravidelné aktualizácie.

Aktivujte si tiež službu Google Webmaster Tools, kde vás Google môže upozorniť na problém so škodlivým obsahom. V Google Analytics si navyše môžete nastaviť vlastné upozornenia na pokles návštevnosti alebo vznik iných anomálií. Tiež je vhodné aspoň raz za čas si pozrieť výsledky vyhľadávania pre vlastný web.

Umožňujete na webe užívateľom pridávať hodnotenia či komentáre? Vyskúšajte, či váš formulár blokuje pridanie iframe či Javascriptu.

Poznámka: Obrázky boli digitálne pozmenené, aby sa jednotlivé weby nedali identifikovať.

Páčil sa Vám článok?

Nenechajte si újsť raz mesačne naše najdôležitejšie novinky!
  • Toto pole je pre validačné účely a mal by zostať nezmenený.