dxdt.ru: занимательный интернет-журнал

Фишеры незаметно перенаправляют пользователей на свои вредоносные сайты разными способами. Часто спрашивают о простых примерах реализации этих перенаправлений. Вот как раз в этом году очень популярно обсуждать открытые “шлюзы” с редиректами на разных сайтах. Публиковалось даже одно или два подробных исследования. О чём идёт речь? Вот о чём.

Возьмём для примера новостную обменную сеть “Новотеки” – http://nnn.novoteka.ru. Здесь есть услужливый интерфейс в click.cgi, полностью открытый. При передаче скрипту на сервере “Новотеки” специально подготовленного URI, этот скрипт отправит браузер клиента по заданному произвольному адресу. При этом пользователь будет видеть в адресе ссылки URL “Новотеки”. Выглядит это, скажем, так:

http://nnn.novoteka.ru/click.cgi?url=%68%74%74%70%3A%2F%2F%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D

По такой ссылке “Новотека” отправляет пользователя на www.google.ru. Понятно, что можно сделать так: http://nnn.novoteka.ru/click.cgi?url=http%3A%2F%2Fwww.google.ru. В первом случае скрипт просто услужливо разбирает закодированную строку. (Для запутывания пользователя можно приписать ещё какие-нибудь параметры к строке.)

Сеть “Новотека” – это не самый узнаваемый ресурс, поэтому подобным образом хитрые хакеры могли бы заманивать только пользователей этой банерообменной сети (тоже, кстати, востребованный вариант). Хуже всего, что подобные “шлюзы” позволяют себе открывать узнаваемые массовой аудиторией лидеры Рунета, например “Яндекс”. Ну и “шлюзов” этих в Сети великое множество.

()