rdombach
Avatar rdombach
Themenersteller
Security-Admin
Content Halbgott (608 Beiträge)

Links "verschleiern"

am 30.06.2012, 14:13 Uhr eröffnete rdombach folgenden Thread
Sonstige    6693 mal gelesen    12 Antwort(en).

Hallo alle miteinander,

ich bin gerade etwas am experimentieren.
Jahrelang hat man dem User gesagt, dass er, bevor er einen Link anklickt, in der untersten Statuszeile seines Browsers schauen soll, was dort als reale Adresse angezeigt wird.

Im Security-Umfeld gibt es aber leider viele veraltete "Empfehlungen". Aufgrund von Link-Obfuscation (Link-Verschleierung) kann man den (normalen) User wunderbar in die Irre führen. Prinzipiell geht das mit Bilder, auf denen ein Link geht oder mit etwas JavaScript.

Ich haben mir dazu eine Ttestseite gebaut ( www.secuteach.de/__htmlfiles/Link_TestSeite.html ) um einige Möglichkeiten auszuprobieren.



Aber ich bin jetzt nicht der große Web-Gure, dem alles so zufliegt. Daher die Frage an die Runde, ob wer noch einen guten Trick kennt, einen Link zu verschleiern. Wobei ich primär an einfach Techniken denke und nicht an Plugins für Joomla oder ander CMS-Systeme. Auch nicht an eine .htaccess-Mainpulation, sondern mehr an "URL-Obfuscation für Dummies".

Vorab danke!

Beste Grüße und einen kühlen Platz für alle, die sich das wünschen!

Ralph


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

joerg
Avatar joerg
Fachinformatiker Anwendungsentwicklung
Content Gott (1941 Beiträge)
am 30.06.2012, 15:26 Uhr schrieb joerg

Hallo Ralph

Eigentlich würde ich sagen das du damit durch bist.

Weiterleitungen hast du benutzt.

Ob diese nun auf

*htaccess
*php
*html
*javascript

beruhen könnte man noch unterscheiden.

Javascript hast du auch aufgezeigt. Als Krönung würde mir da noch einfallen das man zuerst noch einen Ajax Request abschickt um die verschleierte Adresse sich zu holen.

Grundsätzlich denke ich kann man mehr Verwirrung mit einem Formular erreichen. Geht auch mit anderen Element und Javascript. Nach dem Motto wenn du über dieses Element kommst leite ich dich um.

Javascript mit Ajax Request auch unter Umständen da ich jedes Element in einem solchen Formular mit einem Event belegen könnte.

Dann gibt es unter HTML5 noch das neue formaction Attribut was auch in die Richtung geht.

XML das XML:base Attribut für Browser die es falsch interpretieren.
Könnte man dann auch mit Javascript ansprechen.

Ich weiss jetzt nicht wie das aussieht mit dem Base Element und dem href Attribut ob man durch Javascript da auch eine Verschleierung hinbekommen kann.

Momentan sind deine Beispiele noch leicht nachvollziehbar in dem Punkt was dabei passiert.

Wird schwieriger wenn da beispielsweise noch mit Javascript die Adressen dann noch kodiert so das es auf den ersten Blick nicht erkennbar ist.

So was könnte man noch machen. So was ähnliches wie mcaffee mit seinem Kurzurl Dienst.
Nehmen wir ein object, iframe oder embed Element nur als Rahmen auf der Seite die wir ansprechen und setzen da ohne Kommentar wie bei dem Kurz Url Dienst halt eben eine andere Seite in diesen Rahmen.

Fällt auch zuerst nicht auf wenn die andere Seite entsprechend aufgebaut ist.

Die Liste ist etwas lang von dem was man machen kann.

Möglicherweise helfen dir diese zwei Seiten etwas mehr in eine bestimmte Richtung zu denken.

joerghuelsermann.de/artikel/seo/ajax/


Auf der Seite wende ich Ajax an um mir die drei SVG Dateien die verlinkt sind in ein object stattdessen zu setzen.

joerghuelsermann.de/artikel/seo/bild/


Hier habe ich mit Parametern gespielt um verschiedene Bildformate anhand der Parameter auszugeben.
Beispiele sind ganz unten auf der Seite zu finden.

Ich hoffe das reicht dir jetzt um weitere Ideen zu entwickeln. Auch wenn ich jetzt einige Vorschläge nicht überprüft habe.

Könntest du bitte auf deiner Seite das BOM noch entfernen und den Zeichensatz auf UTF-8 setzen?

Gruß
Jörg


Zufällige Umleitung zu der Startseite einer meiner Domains
Meine ungewöhnlichen Tools

hansen
Foren Moderator
Content Gott (1886 Beiträge)
am 30.06.2012, 17:29 Uhr schrieb hansen

Hallo Ralph,

es gibt auch noch einige Tools, die Links verschleiern:

www.netgestalter.de/onlinemarketing/linkmask-10-links-maskieren.html


(Bei aktiven Wot kommt ein Warnhinweis)
Online Tool für Affiliate Links:

www.clickfire.com/tools/link_cloaker/



Da ich so etwas nicht verwende, teste ich es auch nicht.

Gruß
hansen


Nepal Rundreisen

MatthiasHuehr
Avatar MatthiasHuehr
Programmierer
Content Halbgott (705 Beiträge)
am 30.06.2012, 19:15 Uhr schrieb MatthiasHuehr

Man kann doch auch einen Button auf die Seite packen wo man draufklicken muss um zur gewünschen Seite zu kommen. Ich weiß aber nicht, ob das jetzt schon zuviel Technik für deinen Test ist ...


MV-Trip - mein Reiseführer für Mecklenburg-Vorpommern
insideGREIFSWALD - mein Newsmagazin über Greifswald


gelöschter Benutzer
am 30.06.2012, 20:42 Uhr schrieb

"http://82.197.147.108/" ... Browser: Standard [Octale Schreibweise]

Das Oktalsystem hat einen Zeichenvorrat von 8 Zeichen und zwar 0-7. Es ist die Dezimale Schreibweise.

[JS]<script language="javascript">[/JS]
Das ist auch schon ein wenig sehr veraltet.
[JS]<script>//<![CDATA[
alert(\'FooBar\');
//]]></script>[/JS]

Es gibt euch eine Möglichkeit den Statustext direkt zu bearbeiten aber ich komm gerade nicht auf den Funktionsnamen.

Schöne Grüße
Thomas


romacron
JDev Xer
Content Gott (1224 Beiträge)
am 01.07.2012, 08:22 Uhr schrieb romacron

Hallo Ralph,

2 Simple Techniken

1. Mit Server Support

Du schreibst deine Links mit link über den Server
Mit Php führst du dann einen Redirect auf die Seite 3 aus. Denk Link zur Seite kannst du in einer Textdatei speichern.

2. nur Javascript
* kleines JS im Header
[javascript]
/**/
var linkArray=new Array();
linkArray[\'link1\']=\'www.seite eins.de\';
linkArray[\'link2\']=\'www.seite 2.de\';


function redirector(ele){
window.location=linkArray[ele];
}[/javascript]

link 1 js

Dies sind 2 relativ einfach erweiterbare Arten der Verschleierung.

Meintest du so etwas?


rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 02.07.2012, 17:17 Uhr schrieb rdombach

Hallo alle miteinander,

DANKE für die Korrekturhinweise und Vorschläge. Ich sehe schon, da gibt es mehr Bastler ...

Kurz ein Feedback an die Community von meiner Seite, nachdem ich nun meine Basteleien fast beenet habe.

Also es gilt: "Links sind gefährlich!"

Egal, ob beabsichtigt durch URL Obfuscation oder unbeabsichtigt, durch die Nutzung von neuen Techniken, aktuell kenne ich keinen proaktiven Schutz, der meinen Ansprüchen gerecht wird. Es gibt Browser-Plugins, die Links auf einer Webseite überprüfen.
Aber entweder nur bei Suchergebnissen (z.B. Google) oder Kauf-SW, die das bei allen Seiten tut.
Anzumerken ist hier, das die Google-Ãœberprüfung nicht unbedingt sooo sinnvoll ist, da Google selbst bereits schwarze Schafe eliminiert und das Kauf-SW teilweise Links nicht als solche erkennt.
Auf der Start-Seite von Seitenreport werden z.B. die rechts abgebildeten "Neuesten Foren-Beiträge" nicht als Links erkannt.

Eine manuelle Kontrolle von Links ist möglich, aber mit Aufwand verbunden und das erfordert ein sehr diszipliniertes arbeiten .. was man eigentlich nicht durchhält.

Einen akzeptablen Schutz bietet eigentlich nur ein Web-Scanner, der als Gateway-Produkt betrieben wird ... allerdings haben den i.d.R. nur KMUs und größere Firmen/Behörden.

Der lokal installierte Virenschutz (hoffentlich eine Internet-Suite) hilft, aber nicht proaktiv, sondern erst dann, wenn es zu einer Attacke oder einem Download kommt (aber das ist besser als nichts).

Generell gilt, nicht auf jeden Link klicken den man sieht, den lokalen Virenschutz aktuell halten, Warnungen ernst nehmen und mit Ausnahmeregeln sparsam sein.
Webmastern sei empfohlen, selbst was für die Sicherheit ihre Webseiten zu tun!

Beste Grüße
Ralph


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w


gelöschter Benutzer
am 02.07.2012, 17:37 Uhr schrieb

Man kann Links auch indirekt verschleiern.

Zum Beispiel cracke ich mal die .htaccess von Seitenreport und ergänze folgende Zeilen.

[SH]RewriteCond %{HTTP_REFERER} \\.(facebook|google|twitter)\\.(de|com)$ [NC]

RewriteRule . ultima-project.net [R=301,L][/SH]



Damit werden alle Besucher die von Facebook, Google und Twitter kommen auf meine Website weitergeleitet und der Betreiber merkt das nicht so schnell. Die eigene Website ruft man ja in der Regel direkt auf.

Die meisten Web-Scanner merken das auch nicht.

Schöne Grüße
Thomas


joerg
Avatar joerg
Fachinformatiker Anwendungsentwicklung
Content Gott (1941 Beiträge)
am 02.07.2012, 18:40 Uhr schrieb joerg

Hallo Ralph

Wenn du wirklich Schutz möchtest wäre der erste Schritt Javascript abschalten.

Zweitens dann konsequent erstmal jeden Link durch developers.google.com/speed/pagespeed/insights zum Beispiel schicken.



Hat dann aber auch den Nachteil das Webmaster eben diese eine Adresse von der Umleitung ausnehmen können oder einen anderen Inhalt auch ausgeben könnten.

@Thomas

Geschickte Variante die man auch als Alternative im PHP Kode unterbringen könnte.

Stelle dir mal vor du haust in den PHP Kode von einem bekannten CMS wie Wordpress beispielsweise in der Art was hinein.

Also selbst ein Plugin bauen was unbedingt benötigt wird..

Dann sollte selbst eine zusätzliche Abfrage, wenn die Minute mit der Woche des aktuellen Zeitpunktes übereinstimmt und dann nur eine Umleitung erfolgt dir schon jede Menge Besucher bringen.

Und die Fehlersuche wird sich echt schwierig gestalten. Da ist es mit der htacccess schon wesentlich einfacher was zu erkennen.

Ich werde echt kreativ bei solchen Ideen.

Obwohl es bestimmt auch möglich sein sollte zu diesem Zeitpunkt alle Links auf einer Seite in einen selbst genehmen Link umzuwandeln.

Wäre echt ein super Aprilscherz ein Plugin zu bauen was beim nächsten 1 April mal etwas Linkpower beschert.
Erstens witzig.
Zweitens lehrreich für die die unbesorgt ein Plugin installieren. Also entsprechende Seite bauen die über den Hintergrund aufklärt.
Drittens wenn du mit dieser Hausnummer durchkommst hast du die Aufmerksamkeit schlechthin.

Gruß
Jörg


Zufällige Umleitung zu der Startseite einer meiner Domains
Meine ungewöhnlichen Tools

rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 03.07.2012, 19:04 Uhr schrieb rdombach

joerg schrieb:

Hallo Ralph

Wenn du wirklich Schutz möchtest wäre der erste Schritt Javascript abschalten.

Zweitens dann konsequent erstmal jeden Link durch developers.google.com/speed/pagespeed/insights zum Beispiel schicken.




Hallo Jörg,

JavScript abschalten aus Sicherheitsgründen ist OK - da stimme ich Dir zu. Nur dann sollten wir uns beide ein gutes Versteck suchen, um vom Business nicht gesteinigt zu werden. Du hast recht, aber praktisch ist das nicht sinnvoll durchsetzbar.
Was bringt mir aber, ein LinkCheck mit Googles-Pagespeed? Der Mehrwert erschliesst sich mir nicht. Kansnt Du mir da bitte auf die Sprünge helfen ... hops, hops, hops ...

Danke vorab & beste Grüße
Ralph


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

joerg
Avatar joerg
Fachinformatiker Anwendungsentwicklung
Content Gott (1941 Beiträge)
am 03.07.2012, 19:26 Uhr schrieb joerg

Hallo Ralph

Soweit ich feststellen konnte werden Umleitungen durch Javascript, Meta angeben in HTML und auch die per htaccess und PHP durch Pagespeed erkannt.

Die Weiterleitungen per Htaccess und PHP zu erkennen dazu gehört nicht allzu viel.

Okay Javascript und Meta Weiterleitungen kann man definitiv ja abstellen im Firefox also könnte man auch andere Seiten dann zur Kontrolle nutzen ob eine Weiterleitung durch PHP oder htaccess existiert.

Gruß
Jörg


Zufällige Umleitung zu der Startseite einer meiner Domains
Meine ungewöhnlichen Tools



« zurück zu: Sonstige

Das Seitenreport Forum hat aktuell 5276 Themen und 36111 Beiträge.
Insgesamt sind 48364 Mitglieder registriert.