Googlehoy

El peligro de los Bots y las Toolbars

¿La seguridad de una web y un panel de control puede haberse visto en peligro por culpa de los bots como googlebot o la barra de Alexa? SI


Ya es bien sabido que para que un bot no acceda a una parte concreta de la web se puede conseguir con METAS, archivos como robots.txt, usar variables de session o con cookies. Pero ¿Qué pasa si tienes instalada una toolbar como la de alexa?
Supongamos que en tu fantástico panel de control tienes un archivo que cuando lo ejecutas envía, de forma automática, e-mails a todos los registros de una base de datos. Ya sean mails informativos o de publicidad.
Este archivo lo tienes bien oculto en tu web, detrás de un panel de control, con cookies y un robots.txt. ¿Puede ejecutarse este archivo de forma externa?

Pues os explico un caso verídico que me sucedió a mi hace cosa de un año:

Tengo un portal con miles de registros, una vez al mes enviaba estadísticas y cada 2 semanas enviaba publicidad del portal o otros productos que contratan mis servicios.
Para automatizar el envío tenía un acceso directo desde mi escritorio Windows y una tarea que ejecutaba firefox.exe "http://URL de mi web / archivo" cada x días y en ese archivo un script que cerraba la ventana una vez se completara la carga del mismo.
Cual fue mi sorpresa que empecé a recibir bajas indiscriminadas de mis servicios sin ningún tipo de explicación.
La verdad es que me sorprendió, pero pensé que se habían cruzado los planetas con la luna y el sol y...
Hasta que un día recibí un correo no muy educado y además era de un cliente que pagaba por aparecer en mi web (pagando), diciendo que se quería dar de baja de mis notificaciones porque estaba hasta los huevos de borrar mis e-mails.

:?
:O
:X
Me quedé alucinado, así que lo llamé.

Resulta que muy airado (Al principio), me acabó explicando que no paraba de llenarle la bandeja de entrada de correos de estadísticas y de publicidad casi a diario.
Yo sorprendido y acojonado pensaba que habían asaltado mi servidor y alguien estaba jugándomela.
Después de comprobar la seguridad, spybots, antivirus, logs y demás no encontré nada, así que lo que pasaba estaba en mi PC.
Lo mismo borrar acceso directo del escritodio, Spybot, antivirus, logs, cambio de contraseñas tanto de pc como de red etc...
2 días más tarde... ¡JODER! Mails masivos a todo el mundo y más bajas. Desesperado llamé a un amigo para que me ayudara y miramos de todo, hasta que vincule la tabla de IPs con la hora del envío de mails.
¡Bualá! Un cabrón se conectaba al archivo donde enviaba e-mails, y además visitaba otras páginas del portal.
Que raro, actuaba como un bot, pero eso era imposible ya que ese archivo no tiene ningún link externo ni interno, no esta en sitemaps, lo bloquea el robots.txt (La carpeta no el archivo), usa coockies para comprobar contraseñas encriptadas, y asigno un id de Sesion. ¡IMPOSIBLE!

Pues ahora puedo afirmar que:

LA BARRA DE ALEXA SE PASA POR EL FORRO DE LOS COJONES TODO ESTO Y EJECUTA CUALQUIER ARCHIVO QUE HAYAS VISITADO.

Digo ejecuta, con eso quiero decir que esté donde este el archivo, si lo visitas con la barra de alexa, Alexa lo revisitará y lo ejecutará. Aunque el timeout sea altísimo.

Así que si teneis algún archivo que se ejecute sin ningún form por delante... preoucuparos.

Pensando os digo:
Envío de mails o SPAM
Actualizaciones de BD
Volcados de BD
Contadores de visitas en archivos includes sin protección

Bueno, cada uno sabe como está programada su web y lo que puede pasar si alguien accede a algún archivo autoejecutable.
SOLUCIÓN:
Renombrar el archivo y que no se ejecute si no se presiona el Submit del Form.
Comprobar el name o id del form y si es <>"" ejecutar página.
No pasarlo por GET ya que entonces no haces nada porque una vez ejecutado el form visitarás con GET y alexa lo almacenará.

Salu2 y suerte.