Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

d0z.me – le raccourcisseur d’URL qui « boom » les serveurs

Ben Schmidt est un passionné de sécurité informatique et il a un problème.

En effet, Ben n’a pas confiance dans les raccourcisseurs d’URL. Vous savez ces services comme TinyURL ou Bit.ly qui permettent de transformer une adresse internet plutôt longue en quelque chose de très court destiné à être envoyé sur les réseaux sociaux. Et pour illustrer son propos, Ben a mis au point un PoC (Proof of concept) de raccourcisseur d’URL capable de lancer une attaque DDoS contre un site web.

En effet, via son site d0z.me, n’importe qui peut créer une url réduite qui au premier coup d’oeil parait normale mais qui en réalité, lorsqu’elle est appelée charge 2 iframes. L’une avec le site à afficher et l’autre avec le site à attaquer, qui n’est pas visible. Le script provoque alors une légère modification de l’attribut d’un tag IMG présent sur la page à attaquer afin de forcer le navigateur de celui qui ouvre cette URL à envoyer de manière continue des requêtes HTTP au serveur hébergeant le site. Imaginez que cette URL soit ouverte par des centaines de personnes de manière quasi simultanée et boom, le serveur tombe !

Je rejoins donc Ben pour vous dire de vous méfier de ces raccourciceurs d’URL. Tout d’abord en tant qu’utilisateur, parce que si vous vous amusez à mettre des liens raccourcis sur toutes vos pages web, le jour où le service ferme, vos liens seront tous morts (sauf si 301Work existe toujours). Mais aussi en tant que cliqueur fou, car on a vu par le passé des URL raccourcies renvoyer vers des tentatives de scams/phishing, mais aussi carrément vers des pages capables d’exploiter une faille de votre navigateur et de vous infecter avec un petit malware (au fait, y’a un nouveau 0Day IE ici). Il existe des outils comme ce script GreaseMonkey qui permet automatiquement dans les pages de faire apparaitre les URL raccourcies en URL « normale ». Le cas du DDoS est nouveau mais vu que Ben a mis les sources à dispo, ça risque de faire des petits 😉

[Source et photo]