Hab gerade mit meinem genialen Projektpartner telefoniert und wir sind irgendwie auf das Thema “Nasa Links” gekommen…
Nach etwas herumschnüffeln fanden wir schnell heraus: Die Webseite der Nasa scheint vor allem für viele Blackhats und “Pills Porn Viagra”-Spammer gefundenes Futter zu sein.
Heute zeig ich dir, wie erschreckend einfach Blackhats an Backlinks von Nasa.gov kommen – bitte nicht nachmachen, das ist richtig black…
Inhaltsverzeichnis
Hinweis zu diesem Artikel / Disclaimer:
Ich bin mir sicher, dass die von mir herausgefundenen Wege zur möglichen Link Injection schon viele Blackhats vor mir entdeckt haben.
Grund: Es ist einfach zu trivial, sich bei Nasa.gov unauthorisierte Links abzuholen. Darum poste ich sie hier. Mit diesen einfachsten Methoden kommen Spammer und schwarze SEOs ganz einfach an Backlinks von Nasa.gov:
Weg 1: MyNasa
Zuerst meldest du dich bei MyNasa an. Nachdem die Daten deiner Anmeldung scheinbar durch ein offizielleres Prozedere geht (Speicherung der Daten in einer DB), müsste man hier praktisch einen echt aussehenden Namen eingeben. Wunderbare Web 2.0 – Ajax Unterstützung erwartet dich bei der Anmeldung. Da könnte man fast denken, jemand hat sich sorgfältige Konzepte für diese Seite ausgedacht… 😀
Danach erwartet dich eine kunterbunte Web 2.0-Welt mit Playlists und allem drum und dran 🙂 . Jetzt klickst du auf “Edit Profile” und teilst Nasa deinen “wahren” Namen mit. Du hörst nämlich auf den Vornamen: “<a href=”http://deineUrl.de”>” und dein Nachname ist schlicht und einfach “Wunsch-Linktext</a>”. Jetzt sieht deine My-Nasa Seite (URL: http://myasa.nasa.gov/portal/site/mynasa/index.jsp) schon ganz ansehnlich aus.
Allerdings braucht man ein Cookie, um sich einzuloggen. Da der Googlebot keine Kekse mag, haben auch hier geschickte Blackhats vor mir sicherlich auch schon diesen Weg entdeckt. Schaut man einmal in den Quelltext, fällt einem geübten Auge gleich diese Zeile auf:
1 | <input type="hidden" name="realm" value="SQL"> |
Es scheint also, als ob die hier benutzte DB-Sprache SQL ist. Ein wichtiger Indiz. Außerdem sieht man in der Form-Beschreibung folgendes:
1 | action="/portal/site/mynasa/template.NASA_LOGIN_PROCESS" |
Das muss logischerweise die Zieladresse sein. Die Zieladresse muss logischerweise dann wie folgt lauten:
1 | http://mynasa.nasa.gov/portal/site/mynasa//portal/site/myna/template.NASA_LOGIN_PROCESS |
Damit ist aber erst die halbe Miete gewonnen, denn man muss der Engine ja noch Username, Passwort und sonstiges Zeug übergeben. Aber anhand der schön definierten Variablen sollte auch das recht schnell gehen:
1 2 | <input type="text" name="logon" id="logon" value="Username" /> <input type="password" name="password" id="password" value="" /> (schön das Passwort im Klartext übergeben... OMG!) |
Zählt man eins und eins zusammen, müsste man eigentlich folgende Login-Adresse zusammengepuzzelt bekommen:
1 | http://mynasa.nasa.gov/portal/site/mynasa/portal/site/mynasa/template.NASA_LOGIN_PROCESS?logon=alfonsschubert&password=aaaaaa&realm=SQL |
Letzter Kniff: Man kommt zwar über die Adresse auf die (präperierte) Welcome-Seite, allerdings nur mithilfe eines Cookies. Schaut man sich aber mal genau die Werte in dem Cookie an, kann man mit ein wenig analytischem Denken und Programmierkenntnissen auch hier Wege finden, das zu umgehen…
Weg 2 (nochmals viel simpler): Trackbacks
Ja, Blogging ist wirklich eine “new adventure”. So zumindest der Slogan von diesem Nasa-Testpost. Wie du ganz unten unschwer erkennen kannst, sind bei Nasa die Trackbacks auf “Dofollow” gesetzt! Gefundenes Fressen für Spammer und Viagra-Verchecker.
Vorsicht: Das könnte schwer nach hinten losgehen
Für alle, die jetzt mit dem Gedanken spielen, sich für ihre Projekte per Nasa einen Backlink per Trackback zu pflücken: Schau dir mal die anderen Links an, die noch auf der Seite sind. Willst du wirklich in so einer “Linkliste” mit dabei stehen?
Das ist doch nichts anderes als eine “Non-desirable neighbourhood”, also die abgeschwächte Version der “Bad Neighbourhood”. Also ich würde da nicht mit einem meiner mühsam aufgebauten Projekte mit drinstehen wollen. Bei einer Crash & Burn Site ist das was anders…
Schockierend einfach, oder?
Nun hab ich dir gezeigt, wie einfach Spammer Wege finden, sich auch von Authorities Backlinks zu holen. Gibt es in deinem Webshop vielleicht ein ähnliches Sicherheitsproblem wie hier geschildert?
Vielleicht konnte ich dir ja eine Impression geben und dein Gespür für mögliche Sicherheitslückenpotenziale stärken. Teste bitte deine eigenen Projekte, damit dir so etwas nicht passieren kann.
Loading...
Habe eben den Link zu diesem Beitrag bekommen, finde das ist der echte Hammer. 1. War ich geschockt, weil ich noch nie eine Seite mit PR 10 gesehen habe, 2. war ich geschockt, das sowas bei der NASA geht. Wo kommt sowas als nächstes? Bei der CIA oder so? Sollten die nciht eigentlich Geld für Profis haben, die soetwas verhindern? Einfach nur Hammer….
lol .. is schon ein Armutszeugnus für die Nasa-Jungs. Da wird wild mit Javascipt & co hantiert… aber ne simple Forumlarüberprüfung bekommen die Megabrains nicht hin 🙂
Der Loginlink funzt immer noch und gefixxt haben die auch nix. Noch mehr zu bedauern sind eigentlich nur noch Spammer, die meinen mit solchen Methode Linkbuilding betreiben.
Spammen für wertlose Links (die wenn überhaupt nur nach hinten los gehen) sollte mit Internetentzug – nicht unter 2 Monaten – bestraft werden 😉