Tag Archives: Hijacking

ICANN mets un frein à la pratique du Domain Tasting

Vous avez sûrement tous déjà navigué sur des sites dédiés à la publicité jouant avec les pratiques du “Typosquatting” ou encore du “Domain Hijacking“. Une autre technique utilisée par les “domainers” (oups faut pas dire ce mots, ils aiment pas cela) se nomme le “Domain Tasting“, qui consiste à acheter un nom de domaine et tester sa popularité et sa rentabilité sur une période de 5 jours. Si le nom de domaine n’est pas populaire, donc pas rentable, au bout de 5 jours, le “domainers” pourra alors invoquer le principe “Add Grace Period” auprès de son registrar pour se faire rembourser le coût total du nom de domaine.

Ce principe de “Add Grace Period” a été mis en place par l’ICANN afin de donner une chance à l’acheteur du nom de domaine pour pouvoir se le faire rembourser en cas d’erreur dans l’orthographe du domaine.

Malheureusement, de nombreuses personnes (“domainers”) mal intentionnées ont exploités cette faille, permettant d’avoir un nom de domaine gratuit pendant 5 jours. Cette “période de grâce” leurs permettait d’enregistrer des noms de domaine en masse, de tester leurs popularités et leurs rentabilités publicitaire. Si un nom de domaine enregistré réussissait à rembourser son coût d’achat avant la période de 5 jours, celui-ci était conservé par le domainer, tous les autres domaines moins rentables étaient tous simplement rendus au “registrar” en invoquant le principe de “Add Grace Period”.

Le 17 Décembre 2008, l’ICANN ne supportant plus cette situation, le principe de “Add Grace Period” a été revu, demandant depuis au “registrar” de payer 6,75$ par nom de domaine qui ne serait pas conservé. Le “registrar” bien sûr a répercuter ce coût sur les “domainers” et tous naturellement la technique de “Domain Tasting” c’est réduite de 99.7% !!! Comme quoi l’argent, c’est le nerf de la guerre

Hijacking Safari 4 Top Sites with Phish Bombs

Inferno de SecureThoughts.com a rapporté une vulnérabilité dans le navigateur Internet Safari 4 de Apple. Cette vulnérabilité assez particulière et unique exploite les fonctionnalitées “Top Sites” et “Cover Flow” introduitent dans Safari 4.

La fonctionnalité “Top Sites” fournit une vue graphique des sites web favoris de l’utilisateur final, permettant ainsi d’accéder rapidement aux sites que l’on accède le plus souvent, comme par exemple eBay, Amazon, Facebook, Gmail, etc.

La vulnérabilité consiste à placer des sites malveillant, par exemple des sites de phishing, dans “Top Sites”, et cette vulnérabilité est exploitable tous simplement en surfant sur Internet, et en cliquant sur un lien malveillant. Un code Javascript basic sera alors exécuté dans une petite fenêtre afin de simuler des navigations répétées sur ces sites web malveillant afin que ceux-ci apparaissent comme populaires. La fenêtre en cause est totalement invisible par le biais de la fonction javascript “window.blur” et l’utilisateur final n’a aucune connaissance de l’attaque en cours.

L’exploit est vraiment basic et il est vraiment regrettable que Apple ne prenne pas la peine d’étudier et de tester au préalable toutes les éventuelles vulnérabilités de ces nouvelles fonctionnalités ou produits. Apple, stp, ne devient pas comme Adobe sad.gif

[youtube iQuUTz1XAZw]

URLCrazy ou l’étude du Typo Squatting / URL Hijacking

URLCrazy est un outil développé en RUBY permettant l’étude des détournements éventuels des noms de domaine, ces détournements sont du type typo squatting / URL hijacking, basé sur les erreurs de frappes des humains.

URLCrazy permettra aussi d’afficher la popularité du domaine dans le moteur de recherche Cuil, il serait envisageable à l’auteur de ce script de rajouter la popularité d’autres moteurs de recherche.

Pour le typo squatting, URLCrazy propose plusieurs analyses possibles.
La première analyse s’effectue sur l’omission de caractère, par exemple :

zaaz.com
zata.com
zataz.cm
zatz.com
ztaz.com

La deuxième analyse s’effectue en intervertissant les caractères de lettres adjacentes, par exemple :

aztaz.com
zaatz.com
zatza.com
ztaaz.com

La troisième analyse s’effectue en remplaçant chaque caractères du nom de domaine pour la touche clavier située a droite/gauche de celle originelle.

La configuration de base de URLCrazy est un clavier anglais, mais il est possible de modifier le code source pour l’adapter à un clavier français.

82 class Keyboard
83 def initialize()
84         @rows=[“1234567890-“,”azertyuiop”,”qsdfghjklm”,”wxcvbn”]
85 end

Exemple de résultats :

aataz.com
eataz.com
zaraz.com
zataa.com
zatae.com
zatzz.com
zayaz.com
zztaz.com

Le quatrième test est basé sur l’insertion de caractères adjacents, comme par exemple :

zaataz.com
zataaz.com
zataza.com
zataze.com
zatazz.com
zatraz.com
zattaz.com
zatyaz.com
zatyaz.com
zaztaz.com
zeataz.com
zzataz.com

Le cinquième test porte sur l’oubli du caractère point (.) dans l’URL, comme par exemple :

wwwzataz.com
zatazcom.com

Le sixième test porte sur la suppression du caractère tiré (-) si le domaine en possède un originalement, comme par exemple :

Pour le domaine original za-taz.com, le test sera alors zataz.com

Le dernier test porte sur la singularisation ou la pluralisation du nom de domaine, comme par exemple :

zatazs.com

Conclusion :

URLCrazy est logiciel très intéressant pour une version 0.2, et les évolutions futures (intégration de whois, popularité par moteurs de recherche, type de clavier en fichier de configuration, etc.) seront de grande avancée. URLCrazy est donc un logiciel à garder à l’œil.