Уязвимостью в WHOIS-ах по-тихонечку пользуются киберсквоттеры / Информационная безопасность / Хабрахабр

Уязвимостью в WHOIS-ах по-тихонечку пользуются киберсквоттеры

Карму мне слили, писать статьи больше я не могу из-за этого, пока буду писать в свой ЖЖ alexbyk.livejournal.com

Тут я недавно заметил, что WHOIS XSS потихонечку начинают пользоваться киберсквоттеры (или аукционы доменов). В самом скромном случае, просто размещают ссылки на себя и стараясь как-то больше выделить свой бренд, либо просто делая редирект на свои сайты.

Этой уязвимости подвержено большинство сайтов популярных регистраторов. Ниже примеры

Как пример — выдача веб-WHOIS у популярных регистраторов по этим ссылкам: любопытство приведет на гугл
WebNames
Reg.ru
Imena

Так же уязвимости подвержено множество других регистраторов и их партнеров. Чтобы проверить, подвержен ли сайт регистратора или нет — достаточно попытаться зарегистрировать домен catering-companies .com и когда окажется, что он занят — посмотреть данные владельца (whois)

Угрозы, в принципе, из себя это серьезной не представляет (поэтому в этой публикации ничего страшного нет). Больше интересно, как этим начинают пользоваться киберксквоттеры, аукционы доменов и т.д. Вот, например, как размещает свои ссылки продавец БэйДомейнс
www.webnames.ru/scripts/whois.pl?domain_name=WelcomeToAfrica.com

Кому интересно, немного подробнее здесь alexbyk.livejournal.com/, а так же, как исправить, если у вас такая же проблема.

UPD.: разместил в этом разделе, может перенести в другой?

UPD.2.: спасибо тем, кто поднимает карму. Тему перенес в «ИнфоБезопасность»

UPD.3: хвастаться плагином к FF или советовать установить не надо — большинство знает, как отключать выполнение скриптов. Статья не об этом

UPD.4: по просьбам дополнение
на примерах выше уязвимость реализована из за того, что никак не обрабатывается ответ, пришедший от WHOIS сервера (чаще всего вывод команды whois в Линуксе)
Если у вас такая же уязвимость, то скорее всего у вас в скрипте что-то наподобии такого:
$text=`whois google.com`;
print "<pre>$text;</pre>";

Так вот, перед выводом или включением результата whois в HTML, в переменной $text надо заменить все символы < и > на & lt; и & gt;

UPD5: Reg.ru исправил уязвимость через несколько часов после публикации
Молодцы, очень оперативно с учетом того, что сегодня выходной день:)

XSS
, WHOIS

+76

8 ноября 2008, 15:20

alexbyk

комментарии (43)

alexbyk 8 ноября 2008, 15:24 #

Не знаю в какой блог разместить, может в «О хостинге и доменах», или в ИнфоБезопасность?

ostrovityanin 8 ноября 2008, 17:17 # ↑

в О хостинге и доменах, это к безопасности имеет косвенное отношение.

alexbyk 8 ноября 2008, 17:27 # ↑

Согласен, но к хостингам и доменам отношение имеет еще меньше, по-моему

ostrovityanin 8 ноября 2008, 17:28 # ↑

К доменам прямое.

alexbyk 8 ноября 2008, 17:30 # ↑

ну раз я уже перенес. оставлю как есть, если кто-то еще выскажется так же как вы, перенесу обратно

angelov 8 ноября 2008, 15:41 #

Лучше в Информационна безопасность

Rulin 8 ноября 2008, 15:41 #

Спалили тему!

alexbyk 8 ноября 2008, 15:44 # ↑

У меня просто у друга ns-сервера поменяли так, и сайт около суток перекидывал посетителей, вот и попросил рассказать, так как зарегиться на хабре неможет

–12

merlin_rterm 8 ноября 2008, 15:45 #

merlin@fathers ~ $ whois catering-companies.com

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to www.internic.net
for detailed information.

Domain Name: CATERING-COMPANIES.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: www.PublicDomainRegistry.com
Name Server: NS1.SEDOPARKING.COM
Name Server: NS2.SEDOPARKING.COM
Status: ok
Updated Date: 26-jun-2008
Creation Date: 13-apr-2008
Expiration Date: 13-apr-2009

>>> Last update of whois database: Sat, 08 Nov 2008 07:44:29 EST <<<

NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar. Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.

TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' («VeriSign») Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability. VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Registration Service Provided By: RESELLER@UKRDOM.COM
Contact: +380.667764538

Domain Name: CATERING-COMPANIES.COM

Registrant:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note — All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676

Creation Date: 14-Apr-2008
Expiration Date: 14-Apr-2009

Domain servers in listed order:
ns2.sedoparking.com
ns1.sedoparking.com

Administrative Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note — All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676

Technical Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note — All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676

Billing Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note — All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676

Status:ACTIVE

The data in this whois database is provided to you for information purposes only,
that is, to assist you in obtaining information about or related
to a domain name registration record. We make this information available «as is»,
and do not guarantee its accuracy. By submitting a whois query, you agree that you will
use this data only for lawful purposes and that, under no circumstances will you use this data to:
(1) enable high volume, automated, electronic processes that stress
or load this whois database system providing you this information; or
(2) allow, enable, or otherwise support the transmission of mass unsolicited,
commercial advertising or solicitations via direct mail, electronic mail, or by telephone.
The compilation, repackaging, dissemination or other use of this data is expressly prohibited without
prior written consent from us. The Registrar of record is Directi Internet Solutions Pvt. Ltd. d/b/a PublicDomainRegistry.com.
We reserve the right to modify these terms at any time.
By submitting this query, you agree to abide by these terms.

Ч.Я.Д.Н.Т? Где XSS?

alexbyk 8 ноября 2008, 15:49 # ↑

если вы из консоли смотрели, то просто не заметили Javascript, который в коменте отсекся. Я ссылки показал, зачем пост засорять таким длинным комментом?

merlin_rterm 8 ноября 2008, 16:01 # ↑

Я это к тому, что XSS вовсе не в сервисе Whois, а в его веб-интерфейсах. В самом сервисе принципиально не может быть XSS.

alexbyk 8 ноября 2008, 16:02 # ↑

Да, действительно не очень понятно выразился. Щас исправлю

–1

almaz 8 ноября 2008, 15:52 #

ie7.0.6001.18000 под sp1 предупреждает «внимание XXS» и что-то можно нажать (не понял как сделал что остался на webnames.ru) чтобы гугла не было + возможно это kis8 подсовывает что-то

alexbyk 8 ноября 2008, 15:55 # ↑

да не, просто в Explorere или KIS может быть отфильтрован этот код

almaz 8 ноября 2008, 15:59 # ↑

у alexbyk. snap'ы тоже показывают про xxs ;)

Dragonizer 8 ноября 2008, 16:02 # ↑

Об xss'е предупреждает скрипт, прописанный в инфе:

<prе><sсript>alert(«XSS»);document.location='http://google.com'</sсript>
Registration Service Provided By: RESELLER@UKRDOM.COM
Contact: +380.667764538

Domain Name: CATERING-COMPANIES.COM
...

–1

almaz 8 ноября 2008, 16:05 # ↑

ясно, везде работает ;)
лень было глядеть, но отключив скрипты эффекта не было ;)

crenative 8 ноября 2008, 17:04 #

~~Киберквостеры~~ Киберсквоттеры:
Wikipedia

alexbyk 8 ноября 2008, 17:36 # ↑

Большое спасибо, исправил

AnatolyB 8 ноября 2008, 17:42 #

По-моему, очень прохо описана суть проблемы. Пять минут думал, пока дошло…

alexbyk 8 ноября 2008, 17:45 # ↑

Ну проблемы особой как бы нет, не стал просто раздувать статью а вместо этого показал ссылку, чтобы сразу стало ясно о чем речь. Но за замечание все равно спасибо, буду работать над своими литературными способностями

vladzima 8 ноября 2008, 19:12 # ↑

Аналогично, поддерживаю. Тема не раскрыта.

alexbyk 8 ноября 2008, 19:26 # ↑

Ну подскажите, что именно, по-вашему, надо описать подробнее — тогда попробую…

AnatolyB 8 ноября 2008, 19:46 # ↑

Написать, что уязвимость заключается в небезопасном отображении информации, возвращаемой сервисом whois. При отсутсвии маскировки специальных символов возможно внедрить желаемый код в страницу, отображающую информацию о домене.

alexbyk 8 ноября 2008, 20:08 # ↑

Спасибо, попробую)

egorinsk 8 ноября 2008, 19:30 #

Мда, регистраторы экономят на разработке сайта, как я понял, наверно студентов наняли(

p.s. Поскольку Опера, то ничего по ссылкам не сработало(

alexbyk 8 ноября 2008, 20:07 # ↑

Ну я бы так не сказал, со всеми случается. А не открывается — так по ходу дела все ринулись смотреть и лимит у них на подключение к Whois закончился

yarazny 8 ноября 2008, 19:59 #

а всё таки можно плагины или инфу по безопасности ФФ (отключение скриптов на не известных сайтах, быстрое удобное ведение белого листа, етс)

egorinsk 8 ноября 2008, 20:04 # ↑

Опера)) Позволяет отключать скрипты/плагины/куки/рефереры и еще что-то на сайтах по белому и черному спискам, удобно и просто.

DYPA 8 ноября 2008, 23:09 #

для многих это уже давно не новость, спасибо терабайту за его заметку в далеком 2006 году =)
ps дырке на webnames уже 2 года!!!

alexbyk 8 ноября 2008, 23:22 # ↑

Да уж, дыра известна не один десяток лет (правда приспособить ее в рекламных целях додумались недавно), тем не менее многие регистраторы были не в курсе :)
Зато пока статья попала на главную в хабре, регРу уже подсуетились) Значит пользу принесла)

alexbyk 8 ноября 2008, 23:18 #

РегРу молодцы) Наверное читают хабр)

medgimet 9 ноября 2008, 01:30 #

ИМХО, этот вопрсо на совести регистратора, чей интерфейс позволяет вносить такое в информацию о домене.

despair 9 ноября 2008, 08:00 #

> www.reg.ru

Исправлено ;)

Kolobus 9 ноября 2008, 14:14 #

Предполагается, что регистратор вообще не должен разрешать писать всякий мусор в своем whois-выводе, а если и разрешает (как панелька LogicBoxes сейчас например), то внимательнее относиться к тому, что юзеры там пишут.

Забавно, как проблема была решена в .ru. Просто убрали поле descr: в выводе как ненужное.

alexbyk 9 ноября 2008, 15:14 # ↑

ну большинство дыр как раз и происходят от неправильных допущений. Это как антивирус, предполагается, что он не нужен, так как пользователи не должны запускать сторонние программы, но пользователи не знают что не должны)
А вообще, если так разбираться, то уже не регистратор должен заботиться, а администратор каждой зоны. Но это не так, ведь символы больше меньше это обычный текст.

Kolobus 9 ноября 2008, 15:21 # ↑

Администраторы зоны заботятся. В whois-выводе зон .com/.net, как и в .ru нет ничего, куда юзер мог бы запихнуть гадость. Зато есть whois регистраторов (whois.registrationtek.com на примере welcometoafrica.com), который как раз на совести самих регистраторов.

alexbyk 9 ноября 2008, 16:22 # ↑

так зон много, не только .com .net )

Kolobus 9 ноября 2008, 15:22 # ↑

Хотя это и не меняет того, что whois-вывод фильтровать надо ;)

НЛО прилетело и опубликовало эту надпись здесь

alexbyk 9 ноября 2008, 16:22 # ↑

Так, а зачем вам ее использовать на практике — не надо! )

НЛО прилетело и опубликовало эту надпись здесь

LDEV 10 ноября 2008, 18:35 #

Отличный ход! Неожидал хак в корне всего Интернета :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информационная безопасность