Máte na webe formulár na pridávanie obsahu – diskusných príspevkov, hodnotení či odkazov? Mnoho takýchto formulárov na populárnych slovenských weboch nie je podľa nášho testu zabezpečených pred vložením škodlivého kódu. Obsah vložený neznámym človekom tak môže spôsobiť priamy pokles návštev webovej stránky, prípadne aj penalizáciu vyhľadávačmi vrátane straty pozícií.
Takéto varovanie prehliadača odradí množstvo užívateľov:
Zabezpečenie vybraných katalógov, webov s PR článkami a porovnávačov cien som testoval pridávaním jednoduchého útržku Javascriptu a HTML kódu do polí jednotlivých formulárov.
Čo môže spôsobiť cudzí HTML kód?
Popri nevinnom texte je možné, pokiaľ tomu rozhranie nebráni, pridanie cudzieho HTML kódu, napr. iframe. Tento vnorený rám sa na stránke zobrazuje ako prázdny odĺžnik so zadefinovanými rozmermi. Zároveň je mu možné priradiť množstvo atribútov, najpodstatnejší je URL adresa.
Pri testovaní stránok na tvorbu iframu som použil nasledujúci HTML kód:
<iframe src=”http://pocasie.pozri.sk/predpoved-pocasia/bratislava.htm” width=”300″ height=”150″ align=”center”></iframe>
Tým som na webe vytvoril v danej sekcii vycentrovaný rám s rozmermi 300 x 150 zo stránky pocasie.pozri.sk. Avšak, ak by ste webu chceli pomocou pridania iframu uškodiť, s vysokou pravdepodobnosťou uspejete. Stačilo by na webovú stránku vložiť do iframu stránku, ktorú vyhľadávač Google vyhodnotil ako potenciálne nebezpečnú (napr. obsahujúcu malware) a nalinkovať na ňu, pre istotu, na viacerých miestach na danom webe. Dočasne by ste tak mohli ovplyvniť návštevnosť a v prípade dlhodobého pôsobenia oslabiť pozície vo vyhľadávaní. Pokiaľ potom problém majiteľ webu neodstráni, vyhľadávač Google môže stránku penalizovať a nezobrazovať.
Cudzí Javascript je ešte nebezpečnejší
Povolené pridanie Javascriptu na webovú stránku je z hľadiska webmastera mimoriadne nebezpečné. Javascript ponúka značné možnosti a na nezabezpečenom webe môže napáchať veľa škody. V jednotlivých sekciách sa môžete presvedčiť o tom, čo všetko je možné urobiť.
Podarilo sa mi otestovať presmerovanie podstránky webu na iný web, “zaheslovať” podstránky, pridať odkaz cez kľúčové slovo alebo zmeniť pozadie webovej stránky. Pri Javascripte je možné napr. presmerovať podstránku na škodlivý web, čo prispeje k zníženiu návštevnosti a potenciálnym problémom vo vyhľadávačoch.
Internetové katalógy
Pri internetových katalógoch sa zrodila myšlienka tohto článku – začalo to získaním odkazu z jedného veľmi špecializovaného katalógu. Tento katalógový web mal URL odkaz spoplatnený v rámci balíčka. Neskôr som si všimol, že administrátor katalógu do poľa “web stránka” iba jednoducho zadal HTML kód.
Tu som si uvedomil možné zneužitie Javascript a HTML kódu. Z niekoľkých testovacích webov približne každý tretí umožňoval pridať HTML kód alebo Javascript vložením do formulára.
Internetový katalóg č.1
Pozrel som sa na jeden z katalógov a otestoval vloženie obsahu. Podarilo sa mi zmeniť pozadie na webe na čierne a využiť HTML tagy na vytvorenie odkazu.
Internetový katalóg č.2
Pri testovaní som narazil na ďalší nezabezpečený všeobecný internetový katalóg, podarilo sa mi pridať iframe a fungovalo aj vloženie odkazu. Na tomto katalógu bolo zaujímavé to, že z iframe presmeroval inú webovú stránku na svoju adresu a teda v iframe zobrazil iba sám seba.
Internetový katalóg č.3
Pri tomto sa mi podarilo okrem iframe a vloženia odkazu zmeniť farbu pozadia podstránky na čiernu.
Cenové vyhľadávače
Otestoval som celkovo šesť náhodne vybraných cenových porovnávačov, pričom dva sú zraniteľné, jeden kriticky. Pozrime sa na nasledujúce obrázky:
Cenový vyhľadávač č.1
Pomocou HTML a tagu iframe som na web pridal okno s počasím zo stránky pocasie.pozri.sk. Cez Javascript som zmenil pozadie na podstránke na čiernu farbu a tiež sa mi ju podarilo aj celú presmerovať na ľubovoľný web či “zaheslovať”! Je to jednoznačne najzraniteľnejší web z môjho testovania.
Cenový vyhľadávač č. 2:
Tu sa mi podarilo pridať iframe s pocasie.pozri.sk, zmeniť farbu pozadia webu a taktiež pridať odkaz. Presmerovať web ani “zaheslovať” stránku sa mi tentokrát nepodarilo.
Weby s PR článkami
Weby s PR článkami nedopadli o nič lepšie, pričom som ich skúšal len pár. Vyše polovica bola zraniteľná cudzím obsahom, navyše jeden mimoriadne kriticky.
PR web č. 1
Tento web vykázal aj iné chyby, po vložení môjho testovacieho kódu na web, sa objavila akási testovacia verzia. Časť článku vykazovala chybovú hlášku 404, pričom ho vyhľadávač Google normálne indexoval aj s touto “chybovou hláškou”. Na webe sa mi podarilo zmeniť pozadie, pridať iframe a taktiež odkaz.
PR web č. 2
Tento PR web je druhý najzraniteľnejší z môjho testovania, pričom poskytuje PR služby rádovo až v stovkách eur. Podarilo sa mi tu uspieť so všetkými druhmi testov – akceptoval pridanie iframe, zmenu pozadia, pridanie odkazu, “zaheslovanie” podstránky a aj presmerovanie podstránky.
Mimochodom: Poznáte odpoveď na moju hádanku z posledného obrázku? Ale bez googlenia! 😉
Ako sa brániť proti vkladaniu obsahu?
Zaujímajte sa o to, ako si poradí váš systém na správu webu s externým obsahom. Vhodné je používať systémy, ktoré sú dlhodobo vyvíjané a majú pravidelné aktualizácie.
Aktivujte si tiež službu Google Webmaster Tools, kde vás Google môže upozorniť na problém so škodlivým obsahom. V Google Analytics si navyše môžete nastaviť vlastné upozornenia na pokles návštevnosti alebo vznik iných anomálií. Tiež je vhodné aspoň raz za čas si pozrieť výsledky vyhľadávania pre vlastný web.
Umožňujete na webe užívateľom pridávať hodnotenia či komentáre? Vyskúšajte, či váš formulár blokuje pridanie iframe či Javascriptu.
Poznámka: Obrázky boli digitálne pozmenené, aby sa jednotlivé weby nedali identifikovať.