antitop Проект про безпеку мережевих рейтингів, web2.0 сервісів http://my.ukrweb.info/taxonomy/term/132/atom/feed 2008-06-12T03:48:23+03:00 Antitop v0.2 beta http://my.ukrweb.info/2008/03/5/antitop-v02-beta 2008-03-14T17:57:34+02:00 2008-08-30T01:36:53+03:00 podarok Голосування в інтернеті - важлива частина і в багатьох випадках - головний фактор формування вебпроектів. Але для коректності - необхідно піклуватись про безпеку, особливо в випадках, коли в голосуваннях приймають участь анонімні користувачі.

Сьогодні в проекті антитоп - вебсайт http://ukrbash.org

]]> Голосування в інтернеті - важлива частина і в багатьох випадках - головний фактор формування вебпроектів. Але для коректності - необхідно піклуватись про безпеку, особливо в випадках, коли в голосуваннях приймають участь анонімні користувачі.

Сьогодні в проекті антитоп - вебсайт http://ukrbash.org

<!--break-->

Меню 8) сторінки [hide]
    1. Disclaimer
    2. Спочатку трошки прелюдії.
    3. "Людія"
    4. Рекомендації
  1. Висновок
    1. PS


ukrbash.org - національний цитатник. Мова буде йти про нього.

Вітання!

Сьогодні позачерговий випуск проекту AntiTop, і пишу я його по причині великої ефективності коду, який був розміщений в інтернеті завдяки мені та моєму партнеру.

Отже, невеликий графік.

ukrbash.org moon



Після спілкування з модератором даного проекту - "на сайт відбувалась ДДОС атака".

Загалом - погоджуся. Хоч і реальною атакою це назвати важко - швидше "дружня атакочка".

Disclaimer

Процедура, обрана для даної події повністю зворотня і робилась після переконання наявності резервної копії. Крім того - в мене є збережені всі дані та статистика "накрутки". Крім того - my.ukrweb.info - постійний читач УкрБашу і даною дією намагається зробити його кращим!



Спочатку трошки прелюдії.

Реалізація голосування - дуже ефективна та важлива частина більшості web2.0 проектів. Вони формуються на основі таких голосувань. Вся їхня структура та суть побудована на голосуваннях та фідбеках. Отже в такому випадку важливим фактором є безпека, бо посягання на голосування можуть повернути проект зовсім в протилежний бік. Скажімо конкурент, для підняття рейтингу свого проекту може завідомо завалити Ваш, опустивши в 0 найцікавіші частини.

На графіку відображено приклад "тупої" накрутки личільників всіх статей з ТОРу. В результаті на арену виходять "нецікаві" низькорейтингові статті, які підсвідомо можуть сформувати в користувачів проекту негативне враження.



Нажаль, на момент публікації статті помилка невиправлена, тому код, який спричиняє таку "бідосю" я опублікую лише після реального "налагодження" роботи.

"Людія"

На протязі 6 годин різноманітні ІР адреси голосували в мінус статті з ТОРу УкрБаша. Нажаль захисту від цього практично не існує, але захист від "дурня" - життєво необхідний, і реалізація цього захисту - за ukrbash.org. Тестування захисту за my.ukrweb.info - завжди допоможемо в цьому.

Рекомендації

  1. Контроль частоти голосувань - обмежити зверху і привязати обмеження до одного ІР
  2. Додати перевірку referrer в момент голосування
  3. Віддачу голоса анонімним користувачем ускладнити додатковим кроком, залежним від випадкових чисел, але мінімально ненавязаним ускладненнями
  4. Реалізувати обробку результатів голосування не одразу, а з невеликою затримкою - скажімо раз в добу, або раз в кілька годин - тоді зміни на вебсайті можна зафіксувати більш чітко і незамітно для користувачів
  5. Ускладнити метод голосування, переробивши його не через GET, а через POST

Висновок

Безпека - це важливо! 

І вивчення сторони взлому - це перший крок до розуміння самої безпеки.



Успіху Вам!

PS

Проект перейшов із стадії альфа в стадію бета.

Для наступних тем сподіваюсь на Ваші пропозиції.



]]> Antitop версія 0.1 (альфа) http://my.ukrweb.info/2008/03/5/antitop-%D0%B2%D0%B5%D1%80%D1%81%D1%96%D1%8F-01-%D0%B0%D0%BB%D1%8C%D1%84%D0%B0 2008-03-07T00:28:39+02:00 2008-06-12T03:48:23+03:00 podarok Довго вагався чи розпочинати дану серію статей...

Радився з hip та jarofed, та ще з одним партнером....
І вирішили, що дана серія, при коректному використанні буде корисною для вебсайтів в цілому.

Отже - Рейтинги... Каталоги, Топи, міряння довжиною органів... І тому подібна лабуда...

Загалом - це не лабуда. Аналізувати рейтинговість - це важлива частина будь-якого процесу з багатьма учасниками, а інтернет - саме такий процес.

От тільки аналіз повинен бути якщо не ідеальним, то хоча б наближеним до реальності.




]]> Довго вагався чи розпочинати дану серію статей...

Радився з hip та jarofed, та ще з одним партнером....
І вирішили, що дана серія, при коректному використанні буде корисною для вебсайтів в цілому.

Отже - Рейтинги... Каталоги, Топи, міряння довжиною органів... І тому подібна лабуда...

Загалом - це не лабуда. Аналізувати рейтинговість - це важлива частина будь-якого процесу з багатьма учасниками, а інтернет - саме такий процес.

От тільки аналіз повинен бути якщо не ідеальним, то хоча б наближеним до реальності.

З Ваших відгуків буду визначати, чи варто продовжувати аналіз в даному напрямку, а також для "жертв" даного циклу можу запропонувати реальну допомогу в тестуванні та виправленні виявлених помилок.

Коротка преамбула закінчилась...

Сьогодні я буду розповідати про три, нещодавно потрапивших мені під руку каталоги, що мають невелике відношення до Українського інтернету.







Меню 8) сторінки [hide]
  1. Відмова від відповідальності
  2. top.blog.net.ua
    1. Проблема в вигляді exploit
    2. Логіка проблеми
    3. І сама проблема
    4. Побажання власнику top.blog.net.ua
  3. blogmir.net
    1. Проблема exploit
    2. Побажання власнику
  4. www.catalоg2.co.ua
    1. Exploit ака антиDIGG
    2. Побажання власнику
  5. Висновки
    1. PS

Мої вітання...

Преамбула

Довго вагався чи розпочинати дану серію статей...

Радився з hip та jarofed, та ще з одним партнером....
І вирішили, що дана серія, при коректному використанні буде корисною для вебсайтів в цілому.

Отже - Рейтинги... Каталоги, Топи, міряння довжиною органів... І тому подібна лабуда...

Загалом - це не лабуда. Аналізувати рейтинговість - це важлива частина будь-якого процесу з багатьма учасниками, а інтернет - саме такий процес.

От тільки аналіз повинен бути якщо не ідеальним, то хоча б наближеним до реальності.

З Ваших відгуків буду визначати, чи варто продовжувати аналіз в даному напрямку, а також для "жертв" даного циклу можу запропонувати реальну допомогу в тестуванні та виправленні виявлених помилок.

Коротка преамбула закінчилась...

Сьогодні я буду розповідати про три, нещодавно потрапивших мені під руку каталоги, що мають невелике відношення до Українського інтернету.






Відмова від відповідальності



Я жодним чином не намагаюсь нашкодити цим трьом(і можливо всім наступним) проектам. Навпаки!

Коректне ведення статистики буде відображати більш-менш правильну рейтинговість і дозволить робити +- вірну оцінку сайтам.
Всі коди, що використані в даній статті приховані від очей і їх можна переглянути в сорцях цієї сторінки.

Якщо дана сторінка буде некоректно відображатись - значить власники відповідних сайтів зробили деякі зміни - не лякайтесь - найближчим часом я все поправлю. Можете посприяти мені, підказавши проблему.





top.blog.net.ua



Даний php скрипт - дуже і дуже популярний в інтернеті. І в світлі знайдених в ньому багів - всі рейтинги, що побудовані на базі нього - некоректні.
Одназу прошу пробачення за наступний блок.


Проблема в вигляді exploit

Одразу прошу пробачення за завідомо збій в роботі каталогу. Моя мета - вказана вище.

Нагадую - код в сорцях вебсторінки і в даний момент Ви його виконали 8).(на екрані - результат виконання коду)


<!-- Початок коду, для вставки на своєму вебсайті-->

<!--Кінець коду вставки, код не хватають пошуковики!!! -->



В цьому блоці, банальний набір коду, який пропонується вставляти кожному користувачеві, що приймає участь в рейтингу. Код частково змінений, для того, щоб його не хватали пошуковики. Для даної статті було обрано сорок блогів, які знаходяться на останній сторінках каталогу - щоб не дуже сильно портити картину для майбутньої роботи даного сервісу.


Логіка проблеми

Як тільки користувач будь-якого вебсайту, на якому встановлений лічильник заходить на сторінку, де цей лічильник заходиться - автоматично додається +1 до рейтингу вебсайта (в конкретно даному випадку - блога). І все було б добре, але якщо розмістити цей лічильник на іншому вебсайті - кожен з користувачів іншого вебсайту також буде робити +1 до рейтингу...

І сама проблема

Не перевіряється referrer , з якого відбулось завантаження лічильника.

Ну і що? - скажете Ви.. Кому вигідно вішати чужий лічильник на своєму сайті...

Відповідь - власнику свого ж вебсайта...

Наскільки мені відомо - багато блогерів ведуть по кілька щоденників, роблять кроспостінг в інші відомі блогерські портали, роблять коментарі з допомогою HTML.

Якщо взяти це до уваги - тоді можна робити відповіді в тому ж ЖЖ, і до кожної відповіді вішати свій лічильник, або набір лічильників(приховавши їх в квадратику розміром 1х1 піксель). В результаті рейтинг буде некоректним.





Всі блоги, що вішають даний лічильник на своїх ЖЖ - мають конкретно завищений показник, особливо ті, що додані до friend-полос - тоді дуже багато учасників, навіть не читаючи такі повідомлення, - "віддають свій голос" за блог, повідомлення якого вони пропускають



Ве було б нічого, але на базі цього рейтингу інші учасники роблять помилкові висновки ( jarofed підтвердить )


Побажання власнику top.blog.net.ua

Додати в код підрахунку хітів та хостів перевірку referrer - там роботи на 2-3 стрічки php коду.

blogmir.net

Досить відомий каталог. І функціональність його - на висоті! Дуже часто користуюсь ним для швидкого аналізу pr+technorati.

Більше того, власник в мене взяв інтерв'ю 8))). Керуючись помилковими даними, які я йому підсунув. На жаль - таке життя.

Отже - позиція Вашого блогу напряму залежить від кількості голосів, відданих за Вас.

Поки з каталога переходів на блоги дуже мало - є шанс все поправити.


Проблема exploit

Накрутка даного голосування - дуже елементарна і також без перевірок та захистів.

Голосування відбувається методами Ajax - банальний GET запит без додаткових перевірок.

Нагадую - код в сорцях вебсторінки і в даний момент Ви його виконали 8).(на екрані - результат виконання коду)

<!--Код для вставки в себе на вебсайті для накрутки лічильника голосів на blogmir.net-->


<!--Кінець коду blogmir.net-->

Замість цифри 3215 - вставляєте код будь-якого інснуючого в каталозі, і всі Ваші користувачі "проголосують" за відповідний блог.

Побажання власнику

Потрібна мабуть або якась мінімальна Captcha, або - javascript event вікно з підтвердженням про голос - тоді шанси накрутити - набагато менші.

www.catalоg2.co.ua

Заявлена вебдванольність - також недосконала.

Exploit ака антиDIGG

Накрутка також здійснюється елементарно засобами користувачів на будь-якому html вебсайті

Нагадую - код в сорцях вебсторінки і в даний момент Ви його виконали 8).(на екрані - результат виконання коду)


<!--Код для вставки на своєму вебсайті для catalog2.co.ua-->

<!--Кінець коду-->

Замінивши цифру 50 порядковим номером Вашого улюбленого сайту - можна за кілька днів просунути сайт в ТОР.

Побажання власнику

Загалом - принцип взлому - аналогічний до

, тому рекомендації будуть аналогічні.

Висновки

Думаю тема точно є цікавою для власників даних рейтингових систем. І сумніваюсь, що ці дані були підмічені лише тим, хто був ініціатором даної статті.

Якщо дивитись на сторону користувачів даних сервісів, то можна допустити, що через ймовірні помилки деякі вебсайти програють в нечесній грі іншим. Тому гадаю виправлення помилок потрібне.

Якщо Вас зацікавила дана тематика, то я її можу продовжувати майже постійно, в залежності від надходження даних та від Ваших побажань через відповідну форму Пропозиції і тематики на даному вебсайті



Код цих exploit - ів буде досить швидко відображено голим текстом, бо існує імовірність підміни його власниками даних сервісів, хоча він побудований так, що для цілісності даних на вебсайті, де він розміщений особливих проблем немає - є лише ймовірність порушення дизайну та відображення саме тої сторінки, на якій він викладений.

Крім того кожен, хто відобразить цей код в себе на вебсайті може закрити його в рамки 1х1 блоку + забезпечити перевірку на зміни.

Успіху Вам, і бажаю здорового скептицизму в аналізі рейтингів в інтернеті.



PS

Якщо будуть бажаючі - дана тематика буде вестись на сторінках веблогу з певною періодичністю. Повірте - навіть такі лічильники як i.ua, li.ru, mail.ru etcetera - мають аналогічні проблеми. І в Наших силах зробити їх більш актуальними.

]]>