WEB-FAQing-TOOLZZZ

Матушка Лень (MLen@mail.ru)

Спецвыпуск Xakep, номер #030, стр. 030-100-3

Других роботов учат автоматически отправлять сообщения в гостевые книги и поисковые каталоги. Когда ты ходишь по немодеруемым гостевухам, то часто видишь тьму рекламных сообщений, которых в десятки раз больше, чем нормальных, - работа спам-веб-тулз. Некоторые ВЕБ-студии предлагают зарегистрировать твою пагу сразу в 100...0 сетевых каталогах и рейтингах, как, ты думаешь, им это удается?

Как еще применяют автоматические тулзы?

Если скрипт умеет кликать по ссылкам, то имеет смысл его применять в WEB-мошенничестве для накручивания счетчиков, рейтингов, кликов по баннерам. А чтобы спрятать следы, используется двойное туннелирование, например, скрипт размещается на странице, и его запускает ни в чем не повинный пользователь, скрипт при этом выполняет свое черное дело от имени пользователя. Кстати, счетчики, рейтинги, голосовалки, статистику тоже можно назвать тулзами, управляемыми через WEB.

Ну и, конечно, программа, умеющая передавать запросы WEB-серверу, потенциально способна банально подбирать пароль к закрытым WEB-ресурсам, таким как WEB-почта или WEB-администратор странички, или просто платный порносайт. И снова этот гадостный скрипт может работать от лица невинных пользователей, посещающих мирную страничку.

Как скрипт ориентируется на странице, он же слепой?

Просто скрипт чуть-чуть знает HTML (HyperText Markup Language) - язык гипертекстовой разметки. Адреса ссылок, на которые мы кликаем, хранятся в стандартных тэгах HTML, которые начинаются с «<A href=...». Адреса электронной почты выделяются компонентом «mailto:», а еще там есть собачка «@». Формы для отправки сообщения в гостевую книгу начинаются с тэга «<FORM». То есть без особых проблем можно написать простенькую программу, понимающую содержание WEB-страниц и натренированную вылавливать оттуда ссылки, адреса, способную даже передавать данные в регистрационную форму каталога или гостевой книги. Язык Perl обладает громадными возможностями по анализу строк, однако имеются и готовые модули HTML, LWP, URI для эмуляции работы браузера. То есть заставить скрипт притвориться WEB-клиентом не проблема.

Как превратить обычную программу в ВЕБ-тулзу?

Что понимать под обычной программой? Большинство WEB-тулз оказываются банальными скриптами CGI, JSP, ASP, PHP. То есть такая софтина может быть создана специально для WEB, и передача данных между WEB-интерфейсом и такой программой происходит по стандартным алгоритмам. Не уходя от этих технологий, программулина способна притворяться браузером, IRC-клиентом, ICQ-клиентом, почтовым клиентом, способна работать с дисками сервера. Вопрос только в том, чтобы найти нужные библиотеки.