miércoles, agosto 29, 2012

Google, SWF y el Black SEO

En una auditoría de seguridad web que estábamos realizando, uno de nuestros clientes nos había advertido de que tenía resultados raros en Google. Por supuesto, se hicieron las pruebas para ver si estaba jodido por la viagra - que si eso le pasó a la propia Apple, le puede pasar a cualquiera -, pero no parecía haber nada de los promotores de la pastilla azul por el medio, aunque sí que aparecían palabras raras que no estaban en la base de datos ni en los ficheros HTML... ¿qué sería entonces lo que generaba esos resultados? Tenían un aspecto similar a estos.

Figura 1: Resultados similares a los obtenidos. ¿Están todos infectados?

Prestando un poco más de atención a los resultados de Google, se podía observar que todos ellos eran archivos Flash en formato SWF, lo que tenía menos sentido, ya que pensábamos que Google no los analizaba - algo por lo que en el pasado algunos diseñadores habían hecho Cloaking, mostrando a GoogleBot una página totalmente distinta a la que tenían diseñada en Flash para los usuarios , lo que llevó a Google a penalizar a BMW -, por lo que pensamos en alguna infección de Apache para manipular todas las repuestas. Sin embargo, al final descubrimos que esto ya no era tan así, cuando se decompilaron los archivos.

Figura 2: Viagra en archivos SWF
Parece que desde hace ya algún tiempo Google está analizando los strings de los ficheros Flash en formato SWF, así que en muchas webs en las que hay este tipo de contenidos, están aflorando cadenas muy curiosas contenidas dentro de esos ficheros, lo que puede dejar un poco feos los resultados de la web de una empresa. Por supuesto, estos resultados tambien son aprovechados por los empresarios que hacen BlackSEO de moral relajada, y es fácil encontrar ficheros SWF llenitos de Viagra.

Figura 3: Un SWF lleno de publicidad de Viagra

En Bing, a diferencia de Google, no se indexan los strings de los ficheros SWF, algo más que hay que ponerle a favor de Google si quieres hacer hacking con buscadores, al igual que en Bing tenemos operador contains, el análisis de empaquetados, el operador IP, el modificador filtetype y análisis de ejecutables que son útiles cuando se quiere encontrar malware con droppers entre los ficheros binarios publicados por una empresa. Al final, está claro que son dos buscadores con aproximaciones totalmente distintas que dan oportunidades distintas al pentester.

Figura 4: SWF no indexados en Bing 

En cualquier caso, si tienes una web con un montón de ficheros SWF, te recomiendo que hagas un repaso a los strings que Google ha sacado de ellos, no vaya a ser que te lleves alguna mala sorpresa entre los textos que hayan podido poner tus programadores, especialmente si son propensos a Docu-Mentar programas.

Saludos Malignos!

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares