2021-06-22 19:17:18
英国SEO老将Tom Anthony暴露了谷歌蜘蛛的漏洞,黑毛SEO可以利用3358www.sina.com/在别人的网站上注入链接,该链接被谷歌蜘蛛确认会抓住。如果这个漏洞被大规模使用,肯定会影响加权流和搜索排名。
Tom去年11月向谷歌报告了这个漏洞,但截至目前,谷歌尚未解决这个漏洞。“谷歌现有的保护机制应该能防止这种滥用,但相关团队正在研究验证。”另一方面,谷歌在回复汤姆时提到了“内部沟通困难”。公司大了会不会出现这样的问题?
由于谷歌5个月没有采取措施,汤姆决定公布漏洞,站长们检查自己的网站是否存在XSS漏洞,并采取预防措施,防止自己的网站被注入链接。谷歌同意Tom发布相关信息,似乎仍有信心。
什么是XSS攻击
XSS攻击是Cross Site Scripting的缩写,是站点间脚本攻击的意思。Cross Site Scripting的缩写应为CSS,但与页面样式表CSS重复,站点间脚本攻击已更改为XSS。
XSS是代码注入攻击。大部分网站都有允许UGC用户任意修改URL的功能脚本,包括搜索功能、内容网站的提交功能、脚本实现的切换等。例如,搜索概念,URL经常是domain.com/search.php吗?Keyword或domain.com/?S=keyword等(SEO每天粘贴的搜索功能采用此URL格式)。其中keyword可以替换为任何字符。
那如果把关键词部分换成剧本会怎么样呢?例如,domain.com/?S=scriptalert ('XSS')/脚本。也就是说,有这种漏洞的网站在向URL注入恶意脚本时没有安全过滤,浏览器也不知道是不是恶意脚本,所以运行恶意脚本。(威廉莎士比亚、恶意脚本、恶意脚本、恶意脚本、恶意脚本、恶意脚本、恶意脚本、恶意脚本)。
XSS可用于获取有关用户的敏感信息,还可用于运行脚本(如冒充用户请求网站)并将内容插入生成的HTML代码中。这就是黑帽SEO可以用来注入链接的漏洞。
您还可以修改URL的参数,用脚本替换,在浏览器中运行脚本,并将内容插入到HTML中,以插入链接。当然,如果只访问用户的浏览器,显示链接,搜索引擎不抓住这个URL,黑色帽子SEO也不感兴趣。问题是,谷歌蜘蛛可以抓住注入的脚本的URL,还可以运行JS,因此还可以看到注入的链接。
为了防止XSS攻击,首先,服务器端程序必须执行安全过滤,最基本的是HTML转义,可以代替将scriptAlert ('XSS')/script作为搜索字符串运行的脚本。其次,浏览器端XSS识别,现在很多浏览器(如Chrome)看到URL中有可疑字符(如脚本等),拒绝直接打开页面。
Google蜘蛛可以像Google的Chrome浏览器一样识别XSS攻击,如果完全不捕捉注入脚本的URL,那就什么事都没有了。但是谷歌官方文件显示,到目前为止,谷歌蜘蛛使用了比较旧的Chrome 41版本,Chrome 41没有XSS识别功能。因此,具有XSS程序漏洞的网站可以捕捉谷歌蜘蛛注入的链接的URL。
汤姆做了一个实验某新银行(Revolut)网站存在XSS漏洞。但是现在补上了。)Tom在Revolut域名中构建一个带有注入脚本的URL,启动浏览器后,将链接放置在页面顶部。谷歌蜘蛛如何处理这个URL?Tom像谷歌蜘蛛一样渲染页面,所以用谷歌的页面移动性测试工具进行了验证。结果如下:
XSS攻击注入链接
谷歌可以抓取URL并运行注入的脚本,结果页面顶部有注入的链接。这是银行域名的外部链接。
为了进一步验证,Tom将实验URL提交给谷歌,结果谷歌索引了该URL,快照显示通过JS脚本注入的链接也正常出现在页面上。
Google索引了被XSS注入的链接
Tom还发现,通过XSS注入可以添加和修改HTML的标签(例如canonical标签)也是危险的。但是这与本帖XSS注入链接关系不大,不详细说明。
XSS攻击注入的链接有效果吗?
只能索引并不一定是问题,像一些垃圾信息链接一样,被谷歌忽略,如果没有链接效果,也不能用于操作外部链接。(阿尔伯特爱因斯坦,Northern Exposure(美国电视),成功)为了确认这个URL的链接是否有链接效果,Tom进行了更多的实验。
Tom通过在Revolut域名的URL中注入指向自己实验网站上以前不存在的刚刚创建的页面的链接,提交了Revo。
lut的URL,没多久,Google就抓取了Tom自己实验网站上的新页面,而且索引了这个页面,出现在搜索结果中:这说明,被注入的链接,至少是能起到吸引蜘蛛抓取的作用的。对权重流动和排名有没有普通链接一样的作用呢?Tom顾虑到可能会对正常搜索结果的影响而没有进一步试验了。
这里不得不说,国外很多SEO是很有情怀的。我在想,如果是国内SEO们发现这个等级的漏洞,会报告给搜索引擎补上漏洞吗?大概会把这个漏洞为己所用,运用到死吧。
对搜索结果的潜在影响有多大?
如果这种方式注入的链接有正常链接的效果,对权重、排名有效,那么只要被黑帽SEO使用,对操控权重、排名显然有很大帮助,对搜索结果有多大潜在影响呢?
https://www.openbugbounty.org/ 网站上列出了12万5千多有XSS漏洞的网站,其中包括260个.gov政府网站,971个.edu域名网站,包括了前500个链接最多网站中的195个,想象一下潜在的影响会有多大。
当然,Google很自信,他们的防御机制应该可以鉴别出这种黑帽方法,我猜想Google内部调查说明,这种方法到目前为止没有被利用。不过,这是 Tom发布信息之前,现在呢?我估计有很多人已经在疯狂实验这个方法的有效性了。我这篇帖子发出来,国内肯定也会有SEO去尝试。那么,大规模滥用这种注入方法的情况下,Google的预防机制还会有效吗?
另一方面,几乎可以肯定, Tom的帖子发出来,会迫使Google必须要积极采取措施,补上这个漏洞,不能让XSS攻击注入链接真的成为有效的SEO作弊方法。想尝试的,尽快吧,很快就会没用的。
5月8号更新:Google在7号的Google I/O开发大会上宣布,Google蜘蛛将使用最新版的Chrome引擎,目前版本是74,以后都会保持使用最新版本。看来Google早就做了准备,所以这么有信心。
