domingo, 7 de abril de 2013

Analizando url sospeitosas con cURL [bash]

Boas a todxs,

Desculpade a inactividade destes tempos pola miña parte mais exames, vacacións e levar un tempo en varios proxectos, entre os que está a web de hackliza fixeron que apenas tivese tempo libre para pensar en algo interesante que escriber e porme a facelo.

Ultimamente non se me ocurren moitas cousas interesantes das que falarvos mais que continuar con algún tema de criptografía ou administración de sistemas (pero nun futuro xa vai haber novidades con respeito a iso :P). Así que falarei dunha das últimas cousas que por cousas da vida toca facer que é analizar unha url acurtada que chega ás miñas mans mediante un DM en twitter.

Nesta situación empreguei unha ferramenta que atopamos nas distribucións GNU/Linux que é 'cURL'.

'cURL' é unha ferramenta deseñada para automatizar tarefas e simular desde a terminal as accións coa web, entre outras cousas podemos facer peticións post, get, ... Explicar o funcionamento completo da ferramenta e as múltiples opcións que ofrece poderían dar para un par de artigos, e... igual sería interesante facelo mais neste caso empregaremolo para saber se a url recibida é confiábel, a continuación analizaremos ese enderezo.

Nota:-kenkeiras xa publicara un twitcode de como obter unha url destino dun acurtador con python: Twitcode VI

O primeiro que faremos é executar unha petición da cabeceira (headers) que inclúa a localización (se houber) do seguinte xeito:

$ curl -s http://t.co/4G7lg99DHn -LI | grep Location

-s: modo escoita.
-L: Location.
-I: HEAD.
A última parte é un pipe que nos permitiría ver en pantalla exclusivamente a "Location" que sería a url de referencia.

Obtemos o seguinte:

Vemos aparentemente un par de redireccións e un servidor con nome tvvytter (Xa comeza a sonar a SCAM que mete medo), así que vamos a facer unha petición get da cabeceira para mirar o 'length' e outro tipo de información, a continuación un get normal para ver o contido da web:

Outro redireccionamento mais, vamos a ver que contén:

Como podedes observar é un SCAM, carga elementos como o logo do twitter e algunha cousa graciosa como 'Non reveles nunca o teu contrasinal', que picaruelos.

Este é un xeito simple de ver que hai detrás dunha url que nos mandan, espero resultase útil, eu nunca abro unha ligazón sen comprobar o que hai detrás!

Saúde!

4 comentarios:

  1. Moitas grazas por isto. Encántame o teu blogue.

    ResponderEliminar
    Respuestas
    1. Obrigado polo comentario! O blogue é de todo o mundo que queira participar del, non ten un propietario, hehe, esperemos que acabe sendo unha gran comunidade.

      Saúde!

      Eliminar
  2. Mola!!, non coñecia esta ferramenta, mais algunha vez escoitara o nome. Sen dubida deches con un bo SCAM, hay que andar con ollo xD

    ResponderEliminar
    Respuestas
    1. O de empregar este método era máis curiosidade que seguridade, o privado xa viña en inglés tipo: "Check my new site". Vamos, que era turbio seguro xDD.

      Pero si, aos acurtadores sempre habería que pegarlle un vistazo antes por asegurar, veñan de quen veñan, hehe.

      Eliminar