前两天英国的seo老手Tom Anthony曝出一个 Google蜘蛛存在的漏洞,可能被黑帽SEO利用XSS漏洞在别人网站注入链接,并且这些链接确定会被Google蜘蛛抓取。这个漏洞如果被大规模利用,显然是会影响权重流动和搜索排名的。
Tom去年11月就把这个漏洞汇报给Google了,不外到目前为止Google并没有解决这个漏洞的意思,他们的说法是“Google的现有掩护机制应该能预防这种滥用,不外相关团队正在检查验证”。另外Google在回复Tom时提到了有些“内部沟通上的困难”,公司大了是不是都会有这种问题?
既然Google过了5个月都没有采取办法,Tom决定把漏洞公布出来,站长们好检查本身网站是否有XSS漏洞,提取采取预防办法,以防本身网站被注入链接。Google同意Tom公布相关信息,看来还是挺自信的。
什么是XSS攻击
XSS攻击是Cross Site Scripting的缩写,跨站脚本攻击的意思。按说Cross Site Scripting的缩写应该是CSS,但就和页面样式表那个CSS重复了,所以跨站脚本攻击这个改成了XSS。
XSS是一种代码注入攻击。大部门网站都会有某些功能脚本是可以任意修改URL的,好比搜索功能,UGC用户贡献内容网站的提交功能,用脚本实现的转向等等。好比搜索概念,URL经常就是domain.com/search.php?keyword,或者domain.com/?s=keyword之类的(SEO每天一贴的搜索功能就是这个URL格式),其中的keyword是可以替换成任意字符的。
那么keyword部门被替换成脚本会发生什么?好比domain.com/?s=。有这种漏洞的网站就是在URL中注入恶意脚本时,没有进行安详过滤,而浏览器也没有分辨出是恶意脚本,所以执行了恶意脚本。
XSS可以被用来获取用户敏感信息,可以用来冒充用户向网站发出请求等等,还可以执行脚本,在生成的HTML代码中插入内容,这就是黑帽SEO可以利用来注入链接的漏洞。
怎样利用XSS漏洞在别人网站注入链接
修改URL中的参数,替换为脚本,浏览器执行脚本,在HTML中插入内容,所以也可以插入链接。当然如果只是访问用户的浏览器上显示链接,搜索引擎不抓取这个URL的话,黑帽SEO也就不感兴趣了。问题就是 Google蜘蛛可以抓取被注入脚本的URL,也可以执行JS,所以也就可以看到被注入的链接。
防止XSS攻击,一是办事器端的程序要做安详过滤,最基本的是HTML转义,把当作被搜索的字符串,而不是要执行的脚本。二是浏览器端的XSS识别,现在的很多浏览器(如Chrome)看到URL中有可疑字符如script之类的,会直接拒绝打开页面。
如果Google蜘蛛和Google本身的Chrome浏览器一样能够识别XSS攻击,带有注入脚本的URL根本不抓取,就没有事情了。但按照Google官方文件说明,到目前为止,Google蜘蛛使用的是比力老的Chrome 41版本,而Chrome 41是没有XSS识别功能的。所以,有XSS程序漏洞的网站,有可能被Google蜘蛛抓取到被注入链接的URL。
Tom做了实验。某新银行(Revolut)网站有XSS漏洞(天哪,银行网站有XSS漏洞。不外现在已经补上了),Tom在Revolut域名上构造了个带有注入脚本的URL,浏览器执行后会在页面顶部放上个链接。Google蜘蛛会怎样处理这种URL呢?Tom用Google的页面移动友好性测试工具验证了一下,因为这个工具会根据 Google蜘蛛的方式渲染页面。结果是这样:
显然,Google能够抓取URL,执行注入的脚本,生成的页面顶部是有那个被注入的链接的。这可是来自银行域名的一个外部链接。
为了进一步验证,Tom把实验URL提交给Google,结果说明,Google索引了这个URL,快照显示,通过JS脚本注入的链接也正常出现在页面上:
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
