Jump to content
Sh3rl0ck

Links com HXXP ao invés de HTTP

Recommended Posts

Em uma análise de uma página que me solicitaram, tinham links que começavam com hxxp ao invés de http e decidi investigar mais a fundo e descobri o motivo de se utilizar isto.

Alguns recursos na web detectam link por vários motivos, seja para escanear, remover o link, criar formatação diferenciada, dentre outros que incluem principalmente tratamentos de segurança, mas a maioria leva em consideração que um link deva começar com http ou https (ou algumas variações dependendo do sistema) e por não seguir a regra o sistema não o identifica e não passa pelas tratativas do sistema.

Um link incorreto também não é interpretado pelo browser e então não aparece como link e nem seria possível clicar, mas isso é feito de forma proposital, pois o usuário vai tentar clicar e não vai conseguir, então o mesmo se sente na obrigação de copiar e colar no endereço de URL do browser, neste momento no caso dos navegadores IE e Google Chrome substitui hxxp por http, que é uma url válida e assim jogar o usuário para o link verdadeiro, que geralmente é um site malicioso, ou seja, ele bypassava pelos sistemas de detecção dos sites, anti-spam, analisadores de url e outras ferramentas e quando o usuário cola na url é que o atacante atinge seu objetivo enganando o usuário e os sistemas de defesa no meio.

Vi esta técnica ser usada para:

  • Bypassar essas ferramentas citadas acima de anti-spam, antivirus, web crawlers internos do sistema e analisadores de url;
  • Passar por proteções de sites como, por exemplo, um site que é proibido postar conteúdos com links externos ou que todo link é verificado quando passa pelo PHP no back-end, esse link não seria percebido pelo PHP e apareceria na postagem normalmente, podendo ser por exemplo um link malicioso.
Edited by Sh3rl0ck
Expliquei de forma incorreta sem testar.

Share this post


Link to post
Share on other sites

Interessante, mas eu abri no browser um arquivo HTML com o seguinte conteúdo, cliquei no link e deu erro, como "esperado":

<html>
<body>
<a href="httx://www.google.com">Google</a>
</body>
</html>

O Safari mostra um erro e o Chrome estranhamente não faz nada (nem segue o link). Fiz algo errado?

Abraços!

Share this post


Link to post
Share on other sites
4 horas atrás, Fernando Mercês disse:

Interessante, mas eu abri no browser um arquivo HTML com o seguinte conteúdo, cliquei no link e deu erro, como "esperado":


<html>
<body>
<a href="httx://www.google.com">Google</a>
</body>
</html>

O Safari mostra um erro e o Chrome estranhamente não faz nada (nem segue o link). Fiz algo errado?

Abraços!

Desculpa eu tinha me equivocado, já realizei o acerto do tópico e testei.

Share this post


Link to post
Share on other sites

Problema nenhum, brother. To testando porque tenho interesse mesmo. Pode certamente ser utilizado para fins maliciosos, se funcionar. Como você testou? Aqui não rolou localmente, mesmo com hxxp. ;)

Share this post


Link to post
Share on other sites
2 minutos atrás, Fernando Mercês disse:

Problema nenhum, brother. To testando porque tenho interesse mesmo. Pode certamente ser utilizado para fins maliciosos, se funcionar. Como você testou? Aqui não rolou localmente, mesmo com hxxp. ;)

Nessa refatoração removi do tópico que se põe no <a href ... > e sim colocado puro no html como um texto qualquer, forçando o usuário a ter que copiar o link e colar no campo de url do navegador para poder acessar, no chrome e IE, eles modificam o hxxp para http, já o firefox interpreta de forma literal e não modificar o hxxp.

Se usar as tags a, link e um javascript com window.location.href = "hxxp://www.google.com" de fato nenhum navegador que testei reconhece, somente se por direto na url no navegador manualmente.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...