En måned fuld af søgemaskine-hacks
En kreativ Russer har besluttet sig for at kaste sig over de mange sikkerhedsfejl som findes i søgemaskinerne, og har derfor udpreget denne juni måned til at være “Month Of Search Engine Bugs” – ellers om han forkorter det: MOSEB. Det lyder næsten som en hemmelig miltær tjeneste …
Han har tidligere kørt tilsvarende kampagner rettet mod bl.a. Apple og webbrowsere i almindelighed. Hver dag i måneden kommer han med et nyt hack – eller “bug” om du vil. Der er således allerede (mere end) 10 hacks klar på hans website …
Du kan læse en introduktion til kampagnen her.
Mange af de hacks der allerede er lagt ud er baseret på såkaldt “XSS” – Cross Site Scripting. Dette er en metode jeg tidligere har skrevet en del om. Meget kort fortalt, går XSS ud på at afvikle fremmed kode på systemer, hvor det ikke hører til. Systemer bør naturligvis være beskyttet mod den slags, men da der på Internet generelt er mulighed for så enormt mange huller, er det i praksis muligt at finde sådanne på langt over 90% af alle websites – inkl. bankerne, som mit eget eksempel for et stykke tid siden vise.
Bagmanden til projektet påstår at der er sikkerhedsfejl i alle søgemaskiner – alle søgemaskiner i hele verden. Han fokuserer naturligvis med det konkrete projekt på de største. Foreløbigt er det gået ud over Ask.com, Rambler.ru (Rusland), SearchEurope.com, Yandex (Rusland), Clusty.com, MSN.com (Autos og Shoppping), Gigablast.com, Hotbot.com, Meta.au og Yahoo.
Han har ikke haft Google på endnu – men der er jo også 20 dage tilbage i juni 🙂
Google har do været oppe at vende så mange gange – ikke mindst på mit radioshow Strikepoint, hvor vi har rapporteret om mange sikkerhedsproblemer på Google. Earl Gray skrev også lidt forleden om et Google problem med deres URL removal tool – det kan du læse lidt om her. Jeg ved en hel del mere om den sag – mere end hvad godt er, men jeg kan sige så meget, at der gemmer sig meget mere under ovefladen af hvad Earl Gray skriver – det var virkelig grimme “huller” de havde …
Anyway, tag det som en slags hacker-julekalender. Det er ret sjovt at følge med i …
Du kan følge udviklen dag for dag her.
Lars Bachmann skriver
Meget interessant. Det er altid spændende at følge med i hvad folk kan finde af hacks.
Det er jo også blevet en dille at lave en “month of…” et eller andet.