книги хакеры / журнал хакер / 155_Optimized

1 ФАРМА

Суть работы в этой нише заключается в продаже дженериков (generics, незапатентованные лекарственные препараты, которые представляют собой аналоги оригинальных брендовых таблеток) через интернет. Дженерики пользуются огромным спросом у жителей США, Канады и Западной Европы, так как эти медицинские препараты продаются без рецепта, стоят существенно дешевле, чем оригинальные, и практически ничем от них не отличаются.

Задача веб-мастера — привести посетителя, который сделает покупку в партнерском шопе, и получить свои честно заработанные 30–50% от стоимости лекарства.

Прибыльность: Легкость в освоении: Затратность:

Аптеки, шопы

Партнерка предоставляет веб-мастеру движок шопа. Веб-мастер, в свою очередь, «уникализирует» контент и оптимизирует свою аптеку под нужные поисковые запросы. Далее при помощи мощной ссылочной базы (спам, ссылки со взломанных сайтов, покупные ссылки с бирж) вебмастер продвигает свой шоп на верхние позиции в поисковых системах. Этот способ требует больших трудозатрат и серьезных капиталовложений.

Взлом, дорвеи

В качестве донора используется взломанный трастовый сайт. Дорвей заливается в одну из директорий сайта. Также можно использовать

клоакинг с редиректом на партнерскую аптеку (подробнее о технологиях клоакинга читай в сентябрьском номере журнала). Этот способ позволяет быстро заполучить заветных посетителей. Если ты не умеешь ломать сайты самостоятельно, он также станет для тебя довольно дорогостоящим.

Фарма-блоги

Это обычный медицинский блог или дневник пенсионера, описывающего свои проблемы с потенцией и ненавязчиво рекламирующего

продукцию, которая ему помогла :). Такие блоги обычно продвигаются по низкочастотным запросам, что не требует больших финансовых затрат.

Профили

Существует множество сервисов, позволяющих сделать свой профиль или создать блог. Веб-мастера размещают на таких сервисах свои дорвеи. Обычно они содержат красочную картинку, которая предлагает перейти на сайт партнерской аптеки, и текст, составленный из соответствующих ключевых слов. Такой дорвей проспамливают, и если ресурс подобран правильно, то уже примерно через неделю можно радоваться первым посетителям. Это самый простой способ получения фарма-трафика из описанных в статье. Однако с некоторых пор Гугл жестко фильтрует подобные страницы с помощью своего нового алгоритма «Панда».

2 АДАЛТ

Адалт — это самый старый способ заработка в Сети. Его суть заключается в продаже подписок на сайты с «взрослым» медиаконтентом. Золотым веком адалта принято считать первую пятилетку двухтысячных. Сейчас, с появлением таких видеосервисов, как xhamster.com и ему подобных, адалт переживает не лучшие времена. Люди уже не так легко расстаются с деньгами, как раньше. Зачем отдавать свои кровные, если можно воспользоваться бесплатным контентом на халявных видеосервисах? Однако не стоит совсем сбрасывать этот сегмент со счетов, так как в нем по-прежнему можно заработать неплохие деньги. Не нужно

лезть в мейнстрим, выбирай более узкую нишу, и конверт будет на высоте. Средняя стоимость подписки составляет $30. В зависимости от партнерской программы комиссия веб-мастера достигает 40–60%. Подписки нередко продлевают, что также очень выгодно. Некоторые партнерские программы предлагают вебмастеру не процент с подписки, а единовременную плату за приведенного клиента. При этом ты не получаешь комиссию с повторных подписок (ребиллов), зато изначально тебе платят примерно в два раза больше.

Прибыльность: Легкость в освоении: Затратность:

Дорвеи на фрихостингах

Дорвеи — это автоматически генерируемые странички, находящиеся на фрихостингах и заточенные под низкочастотные запросы в поисковых системах. В большинстве случаев пользователи переходят на платник по красочному баннеру, а иногда перенаправляются редиректом. Сейчас также популярны так называемые ДДЛ (дорвеи для людей), которые неопытному пользователю трудно распознать с первого взгляда. Для продвижения дорвеев

обычно используется спам по форумам, блогам и гостевым или собственные ресурсы (трамплины). Процесс создания трамплинов хорошо описан в прошлом номере нашего журнала в статье «Сплоги на WordPress от А до Я».

Сиджи

Сидж — это сайт в виде фотогалереи. После нажатия на порнокартинку пользователь переходит на FGH (страничка с бесплатным контентом, которая предоставляется партнерской

программой). Для того чтобы увидеть больше, пользователь должен перейти с FGH на сам платник и купить подписку. Чтобы воспользоваться этим методом, веб-мастеру придется потратиться на хороший дизайн и, разумеется, на продвижение сиджа, то есть понести сравнительно небольшие расходы.

Профили

Принцип создания ничем не отличается от описанного в разделе о фарме.

3 PPC(PAYPERCLICK)

Суть заработка в этом сегменте кроется в самом названии. Pay per click — это банальная оплата за клик. PPC-партнерка представляет собой в некотором роде биржу трафика, продажей которого и занимается веб-мастер. Всем таким продавцам выдается так называемый фид (блок с рекламными объявлениями), который устанавливается на сайт, сплог или дорвей. Конечный пользователь видит релевантное поисковому запросу объявление, заточенное под страницу твоего ресурса. Кликнув на объявление, пользователь перейдет на сайт рекламодателя, тебе при этом зачислится определенная сумма. Стоимость клика (bid) зависит от того, под какой поисковый запрос (кей) сделана данная страница. Например, поисковый запрос, связанный со страхованием, ценится куда больше, чем адалт-запросы. В каждой PPC-партнерке указывается стоимость клика для любого кея. Еще одним немаловажным фактором, определяющим bid, является качество трафика. Главное преимущество данного сегмента заключается в том, что в нем отсутствует привязка к определенному направлению, а это дает тебе гораздо больше возможностей для заработка.

Прибыльность: Легкость в освоении: Затратность:

Сплоги

Сплоги можно не только использовать как трамплины, но еще и монетизировать при помощи PPC. Как и в случае с сайтом, вешай на сплог фид и получай профит.

Сайты

Тут все просто: настраиваешь интерфейс фида под дизайн своего сайта и вешаешь на все видимые места. Для улучшения кликабельности лучше использовать те зоны ресурса, где располагается навигационное меню.

Дорвеи на фрихостингах

Все то же самое, как и в случае с дорвеями под адалт, однако в данном случае перенаправление осуществляется при помощи фида или редиректа на пабликфид (страница с объявлениями, имеющая заточенный под определенную тематику дизайн).

Профили

Так же как и в случае с дорами, делаем перенаправление при помощи фида. Все остальное — по аналогии с профилями под фарму.

4 ГЭМБЛИНГ

Прибыльность: Легкость в освоении: Затратность:

5 ПРОДАЖАТОВАРОВ

Прибыльность: Легкость в освоении: Затратность:

АТАКИНАПОЛЬЗОВАТЕЛЯ ЧЕРЕЗАДДОНЫБРАУЗЕРА

Безопасность

расширений Firefox

WWW

•Советыпо обеспечению безопасности расширенийот Mozilla: mzl.la/u2Nol0.

•Презентацияоб атакахнааддоны FirefoxсDefcon17: bit.ly/u7BVcS.

•Процесспроверки расширений, выполняемой редакторами: bit.ly/sSzdbO.

Позволяет ли уязвимость в расширении браузера выполять произвольный код на всех компьютерах, где оно установлено? Позволяет, если этот браузер — Firefox. Архитектура аддонов Огнелиса предоставляет практически неограниченные возможности по прокачке функционала браузера, но это несет в себе большую опасность.

ОЧЕРЕДЬ FIREFOX

Мы уже писали о безопасности расширений Chrome (#06/11) и Opera (#06/11). Сегодня мы завершаем изучать потенциальные уязвимости в подключаемых аддонах. Наконец мы дошли и до веб-браузера, популярность которого во многом обусловлена концепцией «простого и безопасного веб-обозревателя с огромным количеством расширений на любой вкус». Если сравнивать с Opera и Google Chrome, то расширения в FF, безусловно, имеют самые мощные возможности. Разработчики классических расширений практически ничем не ограничены и могут изменить браузер до неузнаваемости. Из достаточно аскетичного исходного веб-браузера пользователь может слепить мощный веб-комбайн или «швейцарский нож» для проверки безопасности веб-приложений. На ум приходит последнее «нашумевшее» расширение под названием Firesheep (codebutler. github.com/firesheep), которое при подключении к открытым Wi-Fi- сетям позволяло прямо в браузере легко перехватывать сессионные данные популярных социальных сетей и тут же использовать эту информацию для входа в чужие учетные записи. Прежде чем приступать к рассказу о безопасности расширений и их слабых местах, нужно хотя бы в общих чертах рассмотреть архитектуру аддонов. Этим мы и займемся.

АРХИТЕКТУРА

Расширения для Mozilla Firefox и, кстати, для других продуктов Mozilla (Thunderbird, SeaMonkey и т. д.) используют совокупность технологий, в которую входят:

•XPI(читаетсякак«зиппи»)—технологиясозданиякросс- платформенныхпакетовприложений.

•JavaScript—JS,итутбезнегонеобошлось!

•XUL(XMLUserInterfaceLanguage)—XMLвкачествеязыкадляпо- строенияинтерфейсовприложения.

•DOM(DocumentObjectModel)—онаже«дом»,всемизвестнаяобъ- ектнаямодельдокумента.

•CSS(CascadingStyleSheets)—CSS-стилидлянаведениялоска.

•XPCOM/XPConnect—мощнаямежплатформеннаяпрослойка.

Начнём, наверное, с самого простого, то есть с формата распространения. Расширения распространяются в виде XPI-пакетов. Такой пакет представляет собой не что иное, как ZIP-архив с манифестом установки install.rdf и самими файлами расширения — соответствующая технология носит название XPInstall. Структура неархивированного простого расширения может выглядеть так:

├── chrome

│├── content

││ ├── browserOverlay.js

││ └── browserOverlay.xul

│├── locale

││ └── en-US

│└── skin

│└── browserOverlay.css ├── chrome.manifest

└── install.rdf

Install.rdf и есть тот самый манифест установки (формат RDF/XML), который необходим для установки расширения. Он дает нам общую информацию: название, описание, адрес домашней страницы, имя автора, данные о совместимости (для какого приложения и версии предназначен аддон) и т. п. С точки зрения безопасности нас больше всего интересуют поля updateURL и updateKey, но о них чуть позже. Пример install.rdf:

<?xml version="1.0"?>

<RDF xmlns="http://www.w3.org/1999/02/22-rdf-syntax-ns#" xmlns:em="http://www.mozilla.org/2004/em-rdf#">

<Description about="urn:mozilla:install-manifest">

<em:id>helloworld@oxdef.info</em:id>

<em:name>Hello World</em:name>

<em:description>Hello world!</em:description>

<em:version>0.1</em:version>

<em:creator>Oxdef</em:creator>

<em:homepageURL>http://oxdef.info</em:homepageURL>

<em:updateURL>https://oxdef.info/update

</em:updateURL>

<em:type>2</em:type>

<em:targetApplication><!-- Mozilla Firefox -->

<Description>

<em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}

</em:id>

<em:minVersion>3.0</em:minVersion>

<em:maxVersion>6.0.*</em:maxVersion>

</Description>

</em:targetApplication>

</Description>

</RDF>

Весь интерфейс Mozilla Firefox и его расширений строится с использованием XML-образного языка разметки XUL (читается как «зул»), который, если проводить аналогию с анатомией, представляет в некотором роде скелет расширения. Мускульным каркасом служит пресловутый JavaScript, который мало кто знает на глубоком уровне. Но самой интересной и мощной составляющей расширения является мозг аддона. Это XPCOM (англ. Cross Platform Component Object Model) — кроссплатформенная объектная модель компонентов. В переводе звучит, конечно, коряво, но я попробую объяснить проще. Программистам предлагаются биндинги для множества языков, в том числе для JavaScript, Java, Python, ну и конечно для C++. На этих языках ты можешь написать свою XPCOM-компоненту. При использовании технологии XPConnect ты получаешь мощные компоненты и классы, например для работы с локальной файловой системой и сетью (что, безусловно, повышает угрозу безопасности, создаваемую уязвимостями в расширениях). Большое количество таких компонентов включено в ядро Gecko. Они доступны для расширений по умолчанию. Но если и среди них ты не найдешь того, что тебе нужно, то никто не мешает самостоятельно написать XPCOM-компонент для расширения.

Расширения в большинстве случаев изменяют внешний интерфейс браузера и его поведение с помощью так называемых перекрытий существующих частей интерфейса (добавлений). Эти перекрытия в виде соответствующих XUL-файлов наравне с субпакетами локализации и скинами входят в содержимое расширения (каталог content). Приведу для примера фрагмент XUL-кода расширения с JavaScriptбиндингами:

<script type="application/x-javascript"

src="chrome://helloworld/content/browserOverlay.js" />

<stringbundleset id="stringbundleset">

<stringbundle id="helloworld-string-bundle"

src="chrome://helloworld/locale/browserOverlay.properties"/>

</stringbundleset>

АрхитектурарасширенияMozillaFirefox

Управлениерасширениями

<menubar id="main-menubar"> <menu id="helloworld-hello-menu"

label="&helloworld.hello.label;"

accesskey="&helloworld.helloMenu.accesskey;"

insertafter="helpMenu">

<menupopup>

<menuitem id="helloworld-hello-menu-item"

label="&helloworld.hello.label2;"

accesskey="&helloworld.helloItem.accesskey;"

oncommand=

"XULSchoolChrome.BrowserOverlay.sayHello(event);" />

</menupopup>

</menu>

</menubar>

Одним из ключевых понятий в расширениях Огнелиса является понятие «хром». Это пользовательский интерфейс и, по сути, привилегированная зона браузера (chrome://...), в которой исполняется код расширения и браузера. Исполнить код в зоне хрома — обычно главная цель для злоумышленника. С помощью файла chrome.manifest мы сообщаем браузеру о chrome-файлах расширения и перекрытиях, локалях, скинах, стилях:

overlay chrome://browser/content/browser.xul chrome://

helloworld/content/browserOverlay.xul

ОБНОВЛЕНИЕ РАСШИРЕНИЯ

Рассмотривая вопросы безопасности расширений, равно как и другого программного обеспечения, важно не забыть и про то, как пользователь получает расширения и обновления. Каналы распространения аддонов Огнелиса можно разделить на две категории:

•официальная галерея дополнений — addons.mozilla.org (сокр. AMO);

•ресурс разработчика расширения.

ПРОЦЕДУРА ОБНОВЛЕНИЯ РАСШИРЕНИЙ

Рассмотрим случай, когда расширение устанавливается и обновляется со страницы разработчика. За механизм обновления расширения отвечают две директивы манифеста установки: updateURL и updateKey. Директива updateURL указывает на адрес специального манифеста обновлений, который представляет собой XML/RDF-файл с доступными для расширения обновлениями и адресами. Огнелис периодически (в зависимости от настроек) запрашивает этот файл и информирует пользователя о доступных обновлениях.

<em:updateURL>http://www.foo.com/update.cgi?id=%ITEM_ID% &version=%ITEM_VERSION%</em:updateURL>

Очень важно, чтобы этот манифест нельзя было подменить в небезопасном сетевом окружении, например в твоем любимом кафе с бесплатным Wi-Fi. К сожалению для одних и к счастью для других, тут Mozilla подкрутила гайки, и начиная с третьей версии Огнелиса уже нельзя просто так указать HTTP-адрес в качестве updateURL. Однако существует альтернативный путь — указать в манифесте установки расширения updateKey. Как ты уже догадался, он представляет собой не что иное, как публичный ключ разработчика, используемый для подписи как манифеста обновления, так и самих обновлений:

<em:updateKey>MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDK42

6erD/H3XtsjvaB5+PJqbhjZc9EDI5OCJS8R3FIObJ9ZHJK1TXeaE7JWq

t9WUmBWTEFvwS+FI9vWu8058N9CHhDNyeP6i4LuUYjTURnn7Yw/Igz

yIJ2oKsYa32RuxAyteqAWqPT/J63wBixIeCxmysfawB/zH4KaPiY3vn

rzQIDAQAB</em:updateKey>

В последнем случае в манифесте обновления наряду с атрибутом signature (подпись манифеста) указывается ещё и updateHash, который представляет собой хэш-сумму xpi-файла новой версии расширения. Утилита McCoy облегчает процесс подписи расширений и сопутствующих данных.

При распространении обновлений через AMO об их доставке пользователям заботится уже AMO. Таким образом, разработчику, в общем, не имеет смысла указывать updateURL. Из приведённого фрагмента лога видно, как и на каких ресурсах Огнелис запрашивает информацию об обновлениях:

***LOG addons.updates: Requesting https://versioncheck. addons.mozilla.org/update/VersionCheck.php?reqVersion=2& id=inspector@mozilla.org&version=2.0.10&maxAppVersion=8.0a1& status=userEnabled&appID={ec8030f7-c20a-464f-9b0e- 13a3a9e97384}&appVersion=5.0&appOS=Linux&appABI=x86_64-gcc3& locale=en-US&currentAppVersion=5.0&updateType=97

***LOG addons.xpi: Calling bootstrap method startup on jid0t3eeRQgGANLCH9c50lPqcTDuNng@jetpack version 0.0.19

***LOG addons.updates: Requesting https://localhost/update.rdf

***WARN addons.updates: HTTP Request failed for an unknown reason

Видно, что мой трюк не сработал и браузер отказался скачивать манифест с ресурса, на котором используется самоподписанный SSLсертификат. Таким образом, злоумышленнику, мягко говоря, не так легко внедриться в процесс обновления расширений для Огнелиса. Остаётся либо попытаться скомпрометировать учётную запись разработчика на AMO, либо каким-то образом завладеть его приватным ключом. Проверка 20 наиболее популярных расширений для Огнелиса на AMO показала, что разработчики не стремятся заморачиваться со своими манифестами обновления и возлагают эту заботу на AMO.

УязвимостьвRSS-читалкепозволяетисполнитькод

AMO, безусловно, предоставляет самый популярный и простой способ разместить расширение. Плюс ко всему пользователи доверяют AMO гораздо больше, чем неприглядным сайтам, предлагающим установить что-то в любимый браузер. Тем не менее при использовании второго способа разработчик может получить чуть больше контроля над распространением расширения (читай подробнее во врезке). Если разработчик решит раздавать свое расширение через сайт AMO, то просто так его никто не опубликует. Вернее, страница расширения будет доступна только по прямой ссылке. Перед публикацией на AMO расширение обязательно проверяют редакторы AMO. Проверка бывает двух типов: предварительная и полная.

Из-за скопившейся очереди предварительная проверка сейчас выполняется в течение месяца. В ходе этой проверки исходный код расширения анализируют на баги безопасности и параметры, нарушающие правила размещения расширений на AMO. Если проблем не обнаружено, то расширение с ограничениями (на показ в тематических разделах и поиск) публикуют на AMO. При этом ссылка для установки, приведенная на странице расширения, сопровождается предупреждением о том, что расширение имеет статус экспериментального. Каждое обновление расширения также должно пройти предварительную проверку. Расширение можно отдавать на полную проверку, после того как оно набрало популярность, стало стабильным и выполнило все требования AMO. После ее успешного прохождения расширение публикуют без ограничений. Для него становятся доступны все фишки распространения через AMO.

По понятным причинам полная проверка занимает больше времени, чем предварительная. Ждать своей очереди приходится около двух недель. В ходе полной проверки выполняется, по сути, полноценное функциональное тестирование расширения. Особое внимание уделяется производительности расширения и его влиянию на работу браузера. Проверка призвана не только выявить уязвимости в коде, но и определить, использовались ли при его создании методики безопасного программирования и т. п. Редакторы, которые проводят проверку, особенно следят за тем, чтобы расширение не оказалось малварью. При этом они руководствуются следующим. В расширении не должно быть:

•удалённоговыполненияилиинъекцииJavaScript;

•использованияRemoteXUL;

•обфусцированногокода.

ВЫПОЛНЕНИЕ ПРОИЗВОЛЬНОГО КОДА

Поскольку проверка объективно не может быть всеобъемлющей, многие расширения, распространяемые через AMO, содержат самые разные уязвимости. Некоторые из них позволяют выполнять произвольный код на машине клиента, чего нельзя добиться при эксплуатации багов в аддонах Opera и Chrome. В плане безопасности отличительной чертой расширений Огнелиса по сравнению с расширениями Хрома и Оперы является отсутствие ограничений, привилегий и т. п. Как и код браузера, код расширения исполняется в зоне chrome://. Ему позволено делать практически что угодно, а при использовании технологии XPCOM — вообще все, что может Огнелис. В случае атаки через уязвимость расширения