Links com HXXP ao invés de HTTP

[Sh3rl0ck]

Em uma análise de uma página que me solicitaram, tinham links que começavam com hxxp ao invés de http e decidi investigar mais a fundo e descobri o motivo de se utilizar isto.

Alguns recursos na web detectam link por vários motivos, seja para escanear, remover o link, criar formatação diferenciada, dentre outros que incluem principalmente tratamentos de segurança, mas a maioria leva em consideração que um link deva começar com http ou https (ou algumas variações dependendo do sistema) e por não seguir a regra o sistema não o identifica e não passa pelas tratativas do sistema.

Um link incorreto também não é interpretado pelo browser e então não aparece como link e nem seria possível clicar, mas isso é feito de forma proposital, pois o usuário vai tentar clicar e não vai conseguir, então o mesmo se sente na obrigação de copiar e colar no endereço de URL do browser, neste momento no caso dos navegadores IE e Google Chrome substitui hxxp por http, que é uma url válida e assim jogar o usuário para o link verdadeiro, que geralmente é um site malicioso, ou seja, ele bypassava pelos sistemas de detecção dos sites, anti-spam, analisadores de url e outras ferramentas e quando o usuário cola na url é que o atacante atinge seu objetivo enganando o usuário e os sistemas de defesa no meio.

Vi esta técnica ser usada para:

• Bypassar essas ferramentas citadas acima de anti-spam, antivirus, web crawlers internos do sistema e analisadores de url;
• Passar por proteções de sites como, por exemplo, um site que é proibido postar conteúdos com links externos ou que todo link é verificado quando passa pelo PHP no back-end, esse link não seria percebido pelo PHP e apareceria na postagem normalmente, podendo ser por exemplo um link malicioso.

[Fernando Mercês]

Interessante, mas eu abri no browser um arquivo HTML com o seguinte conteúdo, cliquei no link e deu erro, como "esperado":

<html>
<body>
<a href="httx://www.google.com">Google</a>
</body>
</html>

O Safari mostra um erro e o Chrome estranhamente não faz nada (nem segue o link). Fiz algo errado?

Abraços!

[Sh3rl0ck]

4 horas atrás, Fernando Mercês disse:

Interessante, mas eu abri no browser um arquivo HTML com o seguinte conteúdo, cliquei no link e deu erro, como "esperado":

<html>
<body>
<a href="httx://www.google.com">Google</a>
</body>
</html>

O Safari mostra um erro e o Chrome estranhamente não faz nada (nem segue o link). Fiz algo errado?

Abraços!

Desculpa eu tinha me equivocado, já realizei o acerto do tópico e testei.

[Fernando Mercês]

Problema nenhum, brother. To testando porque tenho interesse mesmo. Pode certamente ser utilizado para fins maliciosos, se funcionar. Como você testou? Aqui não rolou localmente, mesmo com hxxp.

[Sh3rl0ck]

2 minutos atrás, Fernando Mercês disse:

Problema nenhum, brother. To testando porque tenho interesse mesmo. Pode certamente ser utilizado para fins maliciosos, se funcionar. Como você testou? Aqui não rolou localmente, mesmo com hxxp.

Nessa refatoração removi do tópico que se põe no <a href ... > e sim colocado puro no html como um texto qualquer, forçando o usuário a ter que copiar o link e colar no campo de url do navegador para poder acessar, no chrome e IE, eles modificam o hxxp para http, já o firefox interpreta de forma literal e não modificar o hxxp.

Se usar as tags a, link e um javascript com window.location.href = "hxxp://www.google.com" de fato nenhum navegador que testei reconhece, somente se por direto na url no navegador manualmente.