Как да НЕ хакнем НАП, МОН, МВР, ГДБОП и други

 

Последните дни в социалните мрежи нашумя вид експлоатация в сигурността на сайтове от държавната ни администрация.

fb-not-hack

Какво се случи?

Последният споделян URL адрес в социалните мрежи започваше:

http://nap.bg/search?searchText=<img+src%3D“https

Когато се отвори, се показваше една gif анимация в сайта на НАП.

Как се получи?

За да се избегне неправилно тълкуване на определени символи (special characters) като част от програмни команди, примерно интервал, скоби (< >), процент, равно и др. в URL адресите, браузерите използват така наречените избягващи символи (escape characters).

Често използвани символи:

СимволИзбягващСимволИзбягващСимволИзбягващ
интервал%20>%3E#%23
$%24[%5B%%25
&%26]%5D@%40
`%60{%7B/%2F
:%3A}%7D;%3B
<%3C22%=%3D
+%2B?%3F,%2C
\%5C|%7C%27
^%5E~%7E!%21

 

Примерно New Horizons с интервал ще се промени от браузера на:

New%20Horizons

Споделяният URL адрес в социалните мрежи съдържаше HTML код с линк към .gif снимка. За да не се тълкува кодът грешно от браузера, всички специални символи са били сменени с избягващи. Така, използвайки търсачката на сайта, кодът се внедрява в резултатите и браузерът го интерпретира като част от общия HTML.

Важно е да отбележим, че страница с така променен HTML код посредством URL адреса, не е постоянна и не се променя при хостинга. В този случай не може да говори за хакване.

Защо тази шега не е безобидна?

Тази шега сама по себе си, няма да навреди на никого. Но какво щеше да се случи, ако човекът, фалшифицирал този URL адрес, бе сложил вместо анимация, бутон с текст „нова данъчна декларация“, която да препраща към заразен с вирус файл…

Важно е да обръщаме внимание не само в какви сайтове влизаме, но и как са написани.

Продължение, със съвети как да сърфираме по-безопасно.

Интересувате се от темата? Пишете ни!

Бързо запитване

Вашите имена *

Вашият Email *

Вашето съобщение *

captcha

Добавете коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *