还记得那位英国的SEO老手Tom Anthony吗?他最近曝出了一个惊人的Google蜘蛛漏洞,这漏洞可能会被一些不怀好意的人利用,在别的网站上植入链接。而且,更可怕的是,这些链接很可能被Google蜘蛛抓取。这要是真的,那对网站的权重和搜索排名影响可就大了去了。
去年11月,Tom就把这个漏洞告诉了Google,但是到现在,Google好像还没有解决这个问题。Google的说法是:“我们的保护机制应该能阻止这种滥用,不过我们正在调查。”嗯,听起来好像有点官方回避的感觉。而且,Google还提到了“内部沟通上的困难”,这公司大了,是不是都有这种问题啊?
既然Google这么长时间都没动静,Tom决定把这个漏洞公布出来,让站长们自查一下,看看自己的网站有没有这种XSS漏洞。Google也同意了Tom的做法,看起来还挺自信的。
什么是XSS攻击?
XSS,全称Cross Site Scripting,即跨站脚本攻击。简单来说,就是一些不良分子通过注入恶意脚本,来攻击网站。很多网站都有一些脚本可以随意修改URL,比如搜索功能或者UGC网站的内容提交功能。如果这些脚本没有进行安全过滤,那么恶意脚本就可能被执行。
比如,一个网站的搜索URL可能是这样的:domain.com/search.php?keyword。如果有人把keyword部分替换成脚本,比如domain.com/?s=,那么这个网站就可能执行了这个恶意脚本。
XSS攻击可以用来窃取用户信息,冒充用户发送请求,甚至可以在生成的HTML代码中插入内容。这就是黑帽SEO可以利用来注入链接的漏洞。
防止XSS攻击,一方面是服务器端的安全过滤,比如HTML转义,把恶意脚本当作普通字符串处理;另一方面是浏览器端的XSS识别,比如很多浏览器会直接拒绝打开含有可疑字符的页面。
但是,根据Google的官方文件,到目前为止,Google蜘蛛使用的Chrome版本还没有XSS识别功能。所以,有XSS漏洞的网站,可能会被Google蜘蛛抓取到被注入链接的URL。
XSS攻击注入链接的效果如何?
Tom进行了一个实验,他发现,Google蜘蛛不仅能够抓取URL,还能执行注入的脚本,生成的页面顶部会出现被注入的链接。这就像是银行域名上突然冒出一个外部链接,你说危险不危险?
Tom还发现,通过XSS注入,还可以添加、修改HTML中的标签,比如canonical标签。虽然这个和XSS注入链接的关系不大,但是这也说明了XSS攻击的潜在危险。
Tom还进行了一个实验,他在Revolut域名的URL上注入了一个链接,结果Google很快就抓取了这个链接,并且索引了这个页面。这说明,被注入的链接,至少是能吸引蜘蛛抓取的。至于对权重和排名的影响,Tom没有进一步试验,因为他担心这可能会对正常搜索结果造成影响。
这让我想起了,国外的SEO们似乎很有情怀,我想,如果是国内的SEO发现这个级别的漏洞,会不会也像Tom一样报告给搜索引擎呢?或者,他们会不会把这个漏洞当作自己的“秘密武器”呢?
XSS攻击对搜索结果的潜在影响有多大?
如果这种注入的链接真的有链接的效果,对权重和排名有影响,那么这肯定会被黑帽SEO利用,对搜索结果造成很大影响。https://www.openbugbounty.org/网站上列出了12万5千多个有XSS漏洞的网站,其中还包括了政府网站和教育网站。想想看,这潜在的影响有多大。
不过,Google还是很自信的,他们相信自己的防御机制可以鉴别出这种黑帽方法。不过,这也是在Tom发布信息之前的情况。现在呢?我估计已经有很多人在尝试这个方法了。所以,如果你对这个感兴趣,最好尽快试试,因为很快就会没用了。
5月8号更新:Google在7号的Google I/O开发大会上宣布,Google蜘蛛将使用最新版的Chrome引擎,这看起来像是Google已经有了准备。所以,如果你还在考虑利用这个漏洞,那可要抓紧时间了。
版权声明:如何利用XSS漏洞在其它网站注入链接? 系墨家SEO原创发布
转载时请以链接形式注明文章出处:https://mihxws.cn/aiqing-495.html
未注明出处链接视为侵权。对于任何侵犯版权的行为,我们将依法采取措施,并保留追诉法律责任的权力
