Fabians SEO Blog >> SEO Süchtiger aus Würzburg

...ein Blog über SEO, SEM, Onlinemarketing und die Schuhbranche

← Wikipedia macht keinen Sinn für SEO?
Auf der Suche nach rentablen PPC-Keywords? Analytics hilft! →

Backlink von Nasa.gov? Erschreckend einfach..

July 12th, 2008 in verlinkung | 27 Kommentare »

Habe gerade mit meinem genialen Projektpartner Nils telefoniert und wir sind irgendwie auf das Thema “Nasa Links” gekommen.. nach etwas herumschnüffeln fanden wir schnell heraus: Die Webseite der Nasa scheint vor allem für viele Black-Hats und “Pills Porn Viagra”-Spammer gefundenes Futter zu sein.

Heute zeigen wir euch, wie erschreckend einfach Blackhats an Backlinks von Nasa.gov kommen – bitte nicht nachmachen, das ist richtig black…

Hinweis zu diesem Artikel / Disclaimer: Wir sind uns sicher, dass die von uns herausgefundenen Wege zur möglichen Link Injection schon viele Blackhats vor uns entdeckt haben. Grund: Es ist einfach zu trivial, sich bei Nasa.gov unauthorisierte Links abzuholen. Darum posten wir sie hier, doch wir sind uns unserer Verantwortung bewusst. Eine Mail an Nasa Online haben wir deshalb auch schon verschickt…

Mit diesen einfachsten Methoden kommen Spammer und schwarze Seos ganz einfach an Backlinks von Nasa.gov:

Weg1: MyNasa

Zuerst meldet ihr euch bei MyNasa an. Nachdem die Daten eurer Anmeldung scheinbar durch ein offizielleres Prozedere geht (Speicherung der Daten in einer DB?), müsste man hier praktisch einen echt aussehenden Namen eingeben. Wunderbare Web 2.0 – Ajax Unterstützung erwartet euch bei der Anmeldung.. da könnte man fast denken, jemand hat sich sorgfältige Konzepte für diese Seite ausgedacht..

Danach erwartet euch eine kunterbunte Web 2.0-Welt mit Playlists und allem drum & dran :) . Jetzt klickt ihr auf “Edit profile” und Teilt Nasa euren “wahren” Namen mit. Ihr hört nämlich auf den Vornamen “<a href=”http://test.de”>”, und euer Nachname ist schlicht und einfach “Wunsch-Linktext</a>”.

Jetzt sieht eure My-Nasa Seite (URL: http://myasa.nasa.gov/portal/site/mynasa/index.jsp) schon ganz ansehlich aus:

Allerdings braucht man ein Cookie, um sich einzuloggen. Da der Googlebot keine Kekse mag, haben auch hier geschickte Blackhats vor uns sicherlich auch schon diesen Weg entdeckt:

Schaut man einmal in den Quelltext, fällt einem geübten Auge gleich diese Zeile auf: <input type=“hidden” name=“realm” value=“SQL”> .. es scheint also, als ob die hier benutzte DB-Sprache SQL ist. Ein wichtiger Indiz. Außerdem sehen wir in der Form-Beschreibung folgendes: action=“/portal/site/mynasa/template.NASA_LOGIN_PROCESS” >> das muss logischerweise die Zieladresse sein.

Die Zieladresse muss logischerweise dann wie folgt lauten: http://mynasa.nasa.gov/portal/site/mynasa//portal/site/myna/template.NASA_LOGIN_PROCESS

Damit ist aber erst die halbe Miete gewonnen, denn man muss der Engine ja noch Username, Passwort und sonstiges Zeug übergeben. Aber anhand der schön definierten Variablen sollte auch das recht schnell gehen:

<input type="text" name="logon" id="logon" value="Username" />
<input type="password" name="password" id="password" value="" /> (schön das Passwort im Klartext übergeben.. omg..)

Zählen wir eins und eins zusammen, müssten wir eigentlich folgende Login-Adresse zusammengepuzzelt bekommen:

http://mynasa.nasa.gov/portal/site/mynasa/portal/site/mynasa/template.NASA_LOGIN_PROCESS?logon=alfonsschubert&password=aaaaaa&realm=SQL (ausnahmsweise mal ein Nofollow-Link.. glaube Google mag das gar nicht wenn ich auf solche Quellen linke ;) )

Letzter Kniff: Man kommt zwar über die Adresse auf die (präperierte) Welcome-Seite, allerdings nur mithilfe eines Cookies. Schaut man sich aber mal genau die Werte in dem Cookie an, kann man mit ein wenig analytischem Denken und Programmierkenntnissen auch hier Wege finden, das zu umgehen..

Weg2 (nochmals viel simpler): Trackbacks

Ja, blogging ist wirklich eine “new adventure”. So zumindest der Slogan von diesem Nasa-Testpost (nochmal Nofollow.. sorry auf so eine zugespamte Seite will ich nicht linken..). Wie ihr ganz unten unschwer erkennen könnt, sind bei Nasa die Trackbacks auf “Dofollow” gesetzt.. gefundenes Fressen für Spammer & Viagra-Verchecker.

Vorsicht: Das könnte schwer nach hinten losgehen

Für alle, die jetzt mit dem Gedanken spielen, sich für ihre Projekte per Nasa einen Backlink per Trackback zu pflücken: Schaut euch mal die anderen Links an, die noch auf der Seite sind. Wollt ihr wirklich in so einer “Linkliste” mit dabei stehen? Das ist doch nichts anderes als eine “Non-desirable neighbourhood” (via: Marcus), also die abgeschwächte Version der “Bad Neighbourhood”. Also ich würde da nicht mit einem meiner mühsam aufgebauten Projekte mit drinstehen wollen…

…schockierend einfach, oder?

Wir geben euch diese Tricks frei, weil wir ohnehin Whitehats sind und daher gar kein Interesse haben, auf diesem Wege einen Nasa-Backlink zu erhaschen. Ziel dieses Posts ist vielmehr, euch aufzuzeigen, wie einfach Spammer Wege finden, sich auch von Authorities Backlinks zu holen.

Gibt es in eurem Webshop vielleicht ein ähnliches Sicherheitsproblem wie hier geschildert? Vielleicht konnten wir euch ja eine Impression geben und euer Gefühl für mögliche Sicherheitslückenpotenziale stärken. Testet bitte eure eigenen Projekte, damit euch so etwas nicht passieren kann.

Haben übrigens schon eine Mail an Nasa geschrieben und das Problem aufgeschildert. Mal sehen, ob überhaupt jemand sich darum kümmern wird..

Diesen Artikel bookmarken bei: These icons link to social bookmarking sites where readers can share and discover new web pages.
  • Webnews
  • MisterWong
  • Y!GG
  • Facebook
  • Google Bookmarks
  • Live-MSN
  • SEOigg
  • Tausendreporter
  • Technorati
  • YahooMyWeb

27 Kommentare zu “ Backlink von Nasa.gov? Erschreckend einfach.. ”

  1. # 1 Nils hat gesagt:
    July 12th, 2008 at 2:01 am

    Wir sind schon hammer Checker…

    Und beim nächsten Mal erklärt Euch der Fabi, wie man Trackbacks faked, den Konkurrenten in 100te solcher Listen automatisiert einträgt. Dazu wird es ein 1a kommentiertes Script zum Download geben.

    Zum Nasa-Profil: Selbst, wenn ihr es schafft, das Profil mit dem Link in den Index zu bekommen, wird dieser sehr wenig, wenn überhaupt, etwas wert sein, denn das Profil (die Profilseite, die man nur sieht, wenn man eingeloggt ist) ist nirgendwo von nasa.gov verlinkt. Typisches Problem von XSS-Lücken. Aber schon krass, dass die Nasa dort HTML zulässt…. Wer mutig ist, darf es mit SQL Injections versuchen & natürlich gern berichten :)

    Greeetz

  2. # 2 Martin hat gesagt:
    July 12th, 2008 at 4:07 pm

    Sehr gut Jungs, weiter so.. ;-)

  3. # 3 Sven hat gesagt:
    July 12th, 2008 at 10:38 pm

    Bitte unbedingt die Mail von der Nasa abwarten und hier posten ;)

  4. # 4 Bastian hat gesagt:
    July 14th, 2008 at 10:19 am

    Schönes Ding, den kannte ich noch nicht :)

  5. # 5 Patsche hat gesagt:
    July 15th, 2008 at 2:07 am

    Super Beitrag,
    gabs glaub vor nem Jahr schonmal auf Seo-Fm aber natürlich nicht so schön ausführlich wie hier beschrieben, wurde glaub nur was angedeutet. Wie man die hald so kennt, sobald es spannend wird bringt Mediadonis FridayNite zum schweigen ;) .

  6. # 6 Wilhelm hat gesagt:
    July 15th, 2008 at 9:36 am

    Die Länge des Vornamens ist zudem auf 38 Zeichen beschränkt.
    Bleiben zwischen www. und .de z.B. nur 13 Zeichen. fabian-drescher wäre schon zu lang.

  7. # 7 hannes hat gesagt:
    July 15th, 2008 at 2:08 pm

    Man Fabian :)
    Zuviel Zeit? Im Sinne der weissen Seite der Macht finde ich es aber echt löblich, dass Ihr die NASE verständigt habt. Ich bin auch gespannt auf die Antwort, aber ich glaube eher, dass dort niemenad reagieren wird..

  8. # 8 Fabian Drescher hat gesagt:
    July 16th, 2008 at 1:27 am

    Hey @Nils @Hannes @Wilhelm @Patsche @Bastian @Sven @Martin, schön euch hier zu sehen :) !

    @Martin @Hannes: Noch kam noch kein Feedback von Nasa. Habe auch das leise Gefühl, dass meine Mail dort irgendwo im digitalen Nirvana gelandet ist. Ob die überhaupt wissen, was ihnen passieren kann, wenn sie (unauthorisiert) auf fragwürdige Seiten rauslinken?

    @Hannes: Ja genau, hab zuviel Zeit. Schlimm schlimm, dass wir SEOs auch nie was zu tun haben :D

    @Wilhelm: Ist richtig, habe aber der Artikel absichtlich etwas detailarmer gelassen und auch nicht bis zum Schluss die XSS-Methode fertig erklärt. Aber: Gut aufgepasst. Bekommst von mir eine Eins mit Sonne :)

    @Patsche: Ja genau, wobei ich nicht weiß ob der Friday damals genau diesen XSS-Kniff hier meinte. Gibt ja noch etliche weitere Wege, wie man sich mit der “Take-the-money-and-run”-Methode Links stehlen kann. Beschäftige mich aber eigentlich nur mit Whitehat-SEO, von daher glaube ich bin ich da auch der suboptimale Ansprechpartner wenn es um XSS-Hacking geht .. :)

  9. # 9 Robert hat gesagt:
    July 16th, 2008 at 8:43 pm

    Habe eben den Link zu diesem Beitrag bekommen, finde das ist der echte Hammer. 1. War ich geschockt, weil ich noch nie eine Seite mit PR 10 gesehen habe, 2. war ich geschokt, das sowas bei der NASA geht. Wo kommt sowas als nächstes? Bei der CIA oder so? Sollten die nciht eigentlich Geld für Profis haben, die soetwas verhindern?
    Einfach nur Hammer….

  10. # 10 holger hat gesagt:
    July 22nd, 2008 at 12:04 pm

    Das mit der Nasa ist jetzt aber so neu nicht oder? Ich glaub das hab ich letztes Jahr schon irgendwo gelesen. Wäre aber der Hit wenn es die gleiche Lücke ist und immer noch nicht geschlossen ist. Ich möcht wetten das sich die Jungs von der Nasa ein Dreck darum kümmern. Warum auch? So was geht doch garantiert nach hinten los? Kann man denn ernsthaft denken so ein Link wäre jetzt der Knaller?

  11. # 11 Fabian Drescher hat gesagt:
    July 26th, 2008 at 12:00 pm

    Hey Robert und Holger!

    @Robert: Exakt, das hat mich auch etwas geschockt. Man sieht also: Auch ein großer Brand schützt nicht vor Fehlern und Unwissenheit…

    @Holger: Ja ist korrekt, habe gerade mal auf deinen Tipp hin recherchiert: Es gibt einen ähnlichen Beitrag von SeoMoz, der sich (in einem etwas geringeren Detailierungsgrad) auch mit dem Thema “Nasa” beschäftigt und eine andere Sicherheitslücke damals aufdeckte: http://www.seomoz.org/blog/xss-how-to-get-20-gov-links-in-20-minutes
    (Der Nasa-XSS-Link von SeoMoz funktioniert aber heute schon nicht mehr btw..)

    Bin mal gespannt, ob und was mir die Verantwortlichen der Nasa Online hier zurückschreiben werden..

  12. # 12 Dennis hat gesagt:
    July 30th, 2008 at 3:44 pm

    Klappt das wirklich mit dem Nasa-Link?
    Muß ich die Tage auch mal ausprobieren! ;-)

  13. # 13 Matthias hat gesagt:
    August 30th, 2008 at 7:55 am

    Mann, mann, mann … echte Gehirnakrobatik! Und wenn DU Dir noch 10 solcher Exploits holst, auf Dein bestes Pferdchen im Stall knallst, dann freut sich Google, den Algo für SPAM wieder mal so richtig testen zu können. Je nach Wetter gibt das ein Penalty +60 bis ganz aus dem Index. Kannst ja mal bei den Flippfloppern (oder wie die Tauschbörse heisst ;) ) nachfragen.

  14. # 14 Tobias hat gesagt:
    September 20th, 2008 at 11:40 pm

    *lol* Soviel zur allgemeinen Sicherheit von amerikanischen (and rest of the world) Organisationen und Unternehmen…

  15. # 15 Achim hat gesagt:
    October 13th, 2008 at 1:58 am

    lol .. is schon ein Armutszeugnus für die Nasa-Jungs.
    Da wird wild mit javascipt & co hantiert .. aber ne simple forumlarüberprüfung bekommen die megabrains nicht hin :-)
    Der Loginlink funzt immer noch und gefixxt haben die auch nix

    Noch mehr zu bedauern sind eigentlich nur noch Spammer, die meinen mit solchen Methode Linkbuilding betreiben.

    Spammen für wertlose Links (die wenn überhaupt nur nach hinten los gehen) sollte mit Internetentzug – nicht unter 2 monaten – bestraft werden ;-)

  16. # 16 Alpha-gutschein hat gesagt:
    November 13th, 2008 at 6:43 pm

    Finde ich ja Krass wie einfach sowas ist , aber das erklärt die ganzen Backlinks von den “ominösen” Seiten.

    Ist diese Lücke eigentlich mitlerweile geschlossen ?
    Habt ihr eine Anwort auf eure Mail erhalten ?

    mfg

    Alpha

  17. # 17 Heiko hat gesagt:
    November 16th, 2008 at 2:48 pm

    Hallo Fabian,

    ist es denn mittlerweile zu einer Reaktion auf deine Mail gekommen, oder ist deine Nachricht dort offenbar tatsächlich versumpft?

    Kompliment an dieser Stelle für den Artikel. Besonders gefällt mir, dass du ohne Wertung, dafür aber sehr ausführlich, auf die Konsequenzen eines eigenen Links auf dieser Seite eingehst.

    Beste Grüße aus Mainz

    Heiko

  18. # 18 Hans hat gesagt:
    November 22nd, 2008 at 10:54 am

    Tja, man kann diese Variante zwar nutzen, jedoch der Content der anderen Seiten ist wirklich nicht nett.

    Dein Artikel spiegelt all das wieder, wie die schwarzen SEOs aggieren. Hoffentlich wird bald das Loch gestopft.

    Gruß Hans

  19. # 19 Maik hat gesagt:
    December 15th, 2008 at 6:19 pm

    Ist das Loch mittlerweile schon geschlossen.
    Will mal probieren mich noch anzumelden ;-)

  20. # 20 Chris Muszalik hat gesagt:
    December 24th, 2008 at 9:20 pm

    na ich kann mir das mit der Nasa und Co auch nicht so recht vorstellen .. aber der Glaube bewegt ja bekannterweise Berge ;o)

  21. # 21 Goerni hat gesagt:
    May 23rd, 2009 at 12:34 am

    Geht leider nimmer :(

    Ich brauch mehr Tipps Fabian! *g*

  22. # 22 Yves hat gesagt:
    June 1st, 2009 at 11:54 pm

    Gibt bei der Nasa noch ne andere Link Quelle die nicht so zugespammt ist. Auf zum lustigen Ostereier suchen :P

  23. # 23 seo tips hat gesagt:
    June 13th, 2009 at 5:00 pm

    Schwachstelle, ist), um zu sehen, wie viele von denen, die lesen und die Verwendung

  24. # 24 Elite Forum hat gesagt:
    December 27th, 2009 at 1:16 pm

    XSS ist aber nicht mehr Whitehat sondern Blackhat SEO.

  25. # 25 Blog bekannt machen 1 « Christians Blog hat gesagt:
    January 14th, 2010 at 7:15 pm

    [...] Methoden für NASA-Links sind dann allerdings schon etwas dreist. Kommentare [...]

  26. # 26 Christa K. hat gesagt:
    February 15th, 2010 at 8:44 pm

    Ist echt total erschreckend. Muss dir da komplett zustimmen.

  27. # 27 Christian hat gesagt:
    October 18th, 2010 at 8:14 am

    Wirklich erschreckend fpr eine solche Institution. Vor allem ist die Frage: wenn dieses Injection schon so einfach ist, was ist hier mit ein wenig mehr know-how noch Möglich.


  • Suchmaschinenoptimierung aus Würzburg: Fabian Drescher

  • Themenbereiche

    • adwords
    • aktuelles
    • ideen
    • linkbaiting
    • persönliches
    • tipps
    • verlinkung


  • Impressum

  • RSS-Abo

  • Who’s that guy?



    Fabian Drescher
    So, damit ihr mich beim nächsten SEO-Treffen auch erkennt =)
    (mehr Infos zu mir)


  • Email-Abo

    Deine E-Mail Adresse:


    Hinweis: Du kannst das Abo jederzeit wieder abbestellen, einfach auf den Link in einer der E-Mails klicken.

  • Fabian unterstützt…

    Ärzte ohne Grenzen:




    Hier Linkgeiz-freie Zone ;-)


Hier ein paar meiner Lieblings-Referenzen
Update: Vorstellung Fabian Drescher bei Plakos, Fabian Drescher als GOMC Finalist bei der Google OnlineMarketing Challenge, Fabian Drescher (die Domain) im Test bei "XTC Optimierung", Fabian Drescher bei "Nerd in Skirt", Fabian Drescher in Erwähnung bei SEO United, im Xing Forum auch sehr lesenswert der eingeleitete Artikel von Fabian Drescher zur Zukunft des Type-In Traffics. Tipp: Die Lieblingsmarken für Frauen sind übrigens Tamaris und Thomas Sabo. Fabian Drescher als Gast bei den Internetkapitänen und mit freundlichem Verweis von Saltylemon Fabian Drescher in der Referenzliste. Vielen Dank für Ihre Aufmerksamkeit :-)

Copyright by Fabian Drescher (Würzburg)
Fabians SEO Blog >> SEO Süchtiger aus Würzburg © 2008,2009 All Rights Reserved.

A-SEO Template: Tom und OMB