Как сообщает The Register, исследователь Мануэль Блазкез (Manuel Blazquez) опубликовал метод обхода одного из ключевых защитных механизмов Google AdSense.

Блазкез, профессор Мадридского университета Комплутенсе, опубликовал статью на Arxiv, в которой описал, как комбинация межсайтового скриптинга и старомодного поиска по Сети позволяет раздобыть «действительные ссылки на рекламные блоки, опубликованные на веб-сайте».

Для злоумышленников преодоление JavaScript, защищающего рекламодателей, — большое дело, так как это увеличивает спектр возможных автоматизированных кампаний прокликивания рекламы, что позволяет или ложно повысить кажущуюся эффективность рекламной сети, или же атаковать рекламодателя, вынуждая Google понизить его рейтинг в системе AdSense.

В ответ на предыдущие попытки клик-фрода, как объясняет профессор, Google хорошо поработала, чтобы организовать некий барьер между рекламным блоком и сайтом, его содержащим.

Когда веб-сайт ставит show_ads.js в свой HTML-код, AdSense генерирует два iFrame: первый выполняет проверки целостности для предотвращения XSS-атак и защищает второй iFrame, который содержит рекламные блоки.

Блазкез пишет: «Чтобы выполнить корректную загрузку рекламы в iFrame 2, разрешенный iFrame 1, необходимо выполнить весь код Google AdSense и далее извлечь ссылку на динамический веб-сайт iFrame 2».

Его атака работает путем замены кода атакуемого сайта так, чтобы он включал форму (он назвал ее «technical1»), которая сохраняет URL второго iFrame, — после этого очень легко написать JavaScript, который извлекает URL рекламного блока.

Блазкез опубликовал свой код тут и разместил на YouTube испаноязычное видео:

Блазкез пишет, что он демонстрировал эту проблему Google в 2013 году, но она еще не исправлена.

Категории: Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *