Ir para conteúdo
  • Cadastre-se
Sh3rl0ck

Links com HXXP ao invés de HTTP

Posts Recomendados

Em uma análise de uma página que me solicitaram, tinham links que começavam com hxxp ao invés de http e decidi investigar mais a fundo e descobri o motivo de se utilizar isto.

Alguns recursos na web detectam link por vários motivos, seja para escanear, remover o link, criar formatação diferenciada, dentre outros que incluem principalmente tratamentos de segurança, mas a maioria leva em consideração que um link deva começar com http ou https (ou algumas variações dependendo do sistema) e por não seguir a regra o sistema não o identifica e não passa pelas tratativas do sistema.

Um link incorreto também não é interpretado pelo browser e então não aparece como link e nem seria possível clicar, mas isso é feito de forma proposital, pois o usuário vai tentar clicar e não vai conseguir, então o mesmo se sente na obrigação de copiar e colar no endereço de URL do browser, neste momento no caso dos navegadores IE e Google Chrome substitui hxxp por http, que é uma url válida e assim jogar o usuário para o link verdadeiro, que geralmente é um site malicioso, ou seja, ele bypassava pelos sistemas de detecção dos sites, anti-spam, analisadores de url e outras ferramentas e quando o usuário cola na url é que o atacante atinge seu objetivo enganando o usuário e os sistemas de defesa no meio.

Vi esta técnica ser usada para:

  • Bypassar essas ferramentas citadas acima de anti-spam, antivirus, web crawlers internos do sistema e analisadores de url;
  • Passar por proteções de sites como, por exemplo, um site que é proibido postar conteúdos com links externos ou que todo link é verificado quando passa pelo PHP no back-end, esse link não seria percebido pelo PHP e apareceria na postagem normalmente, podendo ser por exemplo um link malicioso.
Editado por Sh3rl0ck
Expliquei de forma incorreta sem testar.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Interessante, mas eu abri no browser um arquivo HTML com o seguinte conteúdo, cliquei no link e deu erro, como "esperado":

<html>
<body>
<a href="httx://www.google.com">Google</a>
</body>
</html>

O Safari mostra um erro e o Chrome estranhamente não faz nada (nem segue o link). Fiz algo errado?

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
4 horas atrás, Fernando Mercês disse:

Interessante, mas eu abri no browser um arquivo HTML com o seguinte conteúdo, cliquei no link e deu erro, como "esperado":


<html>
<body>
<a href="httx://www.google.com">Google</a>
</body>
</html>

O Safari mostra um erro e o Chrome estranhamente não faz nada (nem segue o link). Fiz algo errado?

Abraços!

Desculpa eu tinha me equivocado, já realizei o acerto do tópico e testei.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Problema nenhum, brother. To testando porque tenho interesse mesmo. Pode certamente ser utilizado para fins maliciosos, se funcionar. Como você testou? Aqui não rolou localmente, mesmo com hxxp. ;)

Compartilhar este post


Link para o post
Compartilhar em outros sites
2 minutos atrás, Fernando Mercês disse:

Problema nenhum, brother. To testando porque tenho interesse mesmo. Pode certamente ser utilizado para fins maliciosos, se funcionar. Como você testou? Aqui não rolou localmente, mesmo com hxxp. ;)

Nessa refatoração removi do tópico que se põe no <a href ... > e sim colocado puro no html como um texto qualquer, forçando o usuário a ter que copiar o link e colar no campo de url do navegador para poder acessar, no chrome e IE, eles modificam o hxxp para http, já o firefox interpreta de forma literal e não modificar o hxxp.

Se usar as tags a, link e um javascript com window.location.href = "hxxp://www.google.com" de fato nenhum navegador que testei reconhece, somente se por direto na url no navegador manualmente.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emoticons no total são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.

×
×
  • Criar Novo...