前两天英国的SEO老手Tom Anthony曝出一个 Google蜘蛛存在的漏洞,可能被黑帽SEO利用XSS漏洞在别人网站注入链接,而且这些链接确定会被Google蜘蛛抓取。这个漏洞如果被大规模利用,显然是会影响权重流动和搜索排名的。 Tom去年11月就把这个漏洞汇报给Google了,不过到目前为止Google并没有解决这个漏洞的意思,他们的说法是“Google的现有保护机制应该能预防这种滥用,不过相关团队正在检查验证”。另外Google在回复Tom时提到了有些“内部沟通上的困难”,公司大了是不是都会有这种问题? 既然Google过了5个月都没有采取措施,Tom决定把漏洞公布出来,站长们好检查自己网站是否有XSS漏洞,提取采取预防措施,以防自己网站被注入链接。Google同意Tom公布相关信息,看来还是挺自信的。 什么是XSS攻击 XSS攻击是Cross Site Scripting的缩写,跨站脚本攻击的意思。按说Cross Site Scripting的缩写应该是CSS,但就和页面样式表那个CSS重复了,所以跨站脚本攻击这个改成了XSS。 XSS是一种代码注入攻击。大部分网站都会有某些功能脚本是可以任意修改URL的,比如搜索功能,UGC用户贡献内容网站的提交功能,用脚本实现的转向等等。比如搜索概念,URL经常就是domain.com/search.php?keyword,或者domain.com/?s=keyword之类的(SEO每天一贴的搜索功能就是这个URL格式),其中的keyword是可以替换成任意字符的。 那么keyword部分被替换成脚本会发生什么?比如domain.com/?s=<script>alert(‘XSS’)</script>。有这种漏洞的网站就是在URL中注入恶意脚本时,没有进行安全过滤,而浏览器也没有分辨出是恶意脚本,所以执行了恶意脚本。 XSS可以被用来获取用户敏感信息,可以用来冒充用户向网站发出请求等等,还可以执行脚本,在生成的HTML代码中插入内容,这就是黑帽SEO可以利用来注入链接的漏洞。 怎样利用XSS漏洞在别人网站注入链接 修改URL中的参数,替换为脚本,浏览器执行脚本,在HTML中插入内容,所以也可以插入链接。当然如果只是访问用户的浏览器上显示链接,搜索引擎不抓取这个URL的话,黑帽SEO也就不感兴趣了。问题就是 Google蜘蛛可以抓取被注入脚本的URL,也可以执行JS,所以也就可以看到被注入的链接。 防止XSS攻击,一是服务器端的程序要做安全过滤,最基本的是HTML转义,把<script>alert(‘XSS’)</script>当作被搜索的字符串,而不是要执行的脚本。二是浏览器端的XSS识别,现在的很多浏览器(如Chrome)看到URL中有可疑字符如script之类的,会直接拒绝打开页面。 如果Google蜘蛛和Google自己的Chrome浏览器一样能够识别XSS攻击,带有注入脚本的URL根本不抓取,就没有事情了。但根据Google官方文件说明,到目前为止,Google蜘蛛使用的是比较老的Chrome 41版本,而Chrome 41是没有XSS识别功能的。所以,有XSS程序漏洞的网站,有可能被Google蜘蛛抓取到被注入链接的URL。 Tom做了实验。某新银行(Revolut)网站有XSS漏洞(天哪,银行网站有XSS漏洞。不过现在已经补上了),Tom在Revolut域名上构造了个带有注入脚本的URL,浏览器执行后会在页面顶部放上个链接。Google蜘蛛会怎样处理这种URL呢?Tom用Google的页面移动友好性测试工具验证了一下,因为这个工具会按照 Google蜘蛛的方式渲染页面。结果是这样: 显然,Google能够抓取URL,执行注入的脚本,生成的页面顶部是有那个被注入的链接的。这可是来自银行域名的一个外部链接。 为了进一步验证,Tom把实验URL提交给Google,结果说明,Google索引了这个URL,快照显示,通过JS脚本注入的链接也正常出现在页面上: Tom还发现,通过XSS注入,也可以添加、修改HTML中的标签,比如canonical标签,这个也是挺危险啊。不过这个和本帖XSS注入链接关系不大,就不细说了。 XSS攻击注入的链接有效果吗? 仅仅能索引不一定说明问题,如果如某些垃圾链接一样被Google忽略,没有链接的效果,那也不能利用来操控外部链接。为了验证这种URL上的链接是否有链接效果,Tom进一步做了实验。 Tom在Revolut域名的URL上注入一个链接,指向自己实验网站上以前不存在、刚刚创建的一个页面,提交Revolut的URL,没多久,Google就抓取了Tom自己实验网站上的新页面,而且索引了这个页面,出现在搜索结果中: 这说明,被注入的链接,至少是能起到吸引蜘蛛抓取的作用的。对权重流动和排名有没有普通链接一样的作用呢?Tom顾虑到可能会对正常搜索结果的影响而没有进一步试验了。 这里不得不说,国外很多SEO是很有情怀的。我在想,如果是国内SEO们发现这个等级的漏洞,会报告给搜索引擎补上漏洞吗?大概会把这个漏洞为己所用,运用到死吧。 对搜索结果的潜在影响有多大? 如果这种方式注入的链接有正常链接的效果,对权重、排名有效,那么只要被黑帽SEO使用,对操控权重、排名显然有很大帮助,对搜索结果有多大潜在影响呢? https://www.openbugbounty.org/ 网站上列出了12万5千多有XSS漏洞的网站,其中包括260个.gov政府网站,971个.edu域名网站,包括了前500个链接最多网站中的195个,想象一下潜在的影响会有多大。 当然,Google很自信,他们的防御机制应该可以鉴别出这种黑帽方法,我猜想Google内部调查说明,这种方法到目前为止没有被利用。不过,这是 Tom发布信息之前,现在呢?我估计有很多人已经在疯狂实验这个方法的有效性了。我这篇帖子发出来,国内肯定也会有SEO去尝试。那么,大规模滥用这种注入方法的情况下,Google的预防机制还会有效吗? 另一方面,几乎可以肯定, Tom的帖子发出来,会迫使Google必须要积极采取措施,补上这个漏洞,不能让XSS攻击注入链接真的成为有效的SEO作弊方法。想尝试的,尽快吧,很快就会没用的。 5月8号更新:Google在7号的Google I/O开发大会上宣布,Google蜘蛛将使用最新版的Chrome引擎,目前版本是74,以后都会保持使用最新版本。看来Google早就做了准备,所以这么有信心。 你可能想看: 利用Sitemap提交漏洞劫持其它网站排名 我个人虽然不建议做黑帽SEO,但了解一些黑帽技术是白帽SEO的必修课。国外一些黑帽对SEO的探索出人意料,脑洞很清奇。 2021网站服务器安全优化-跨站脚本攻击XSS 前一段时间SEO禅介绍了WebPageTest这个网站测速SEO工具,其中第一项分数就是安全测试,今天SEO禅就来分享一下关于如何防止网站被跨站脚本XSS攻击,首先还是老套路,做这件事之前我们要知道这... 2021网站服务器安全优化-SQL注入攻击 为什么SEO禅的博客不像其他SEO同行,SEO公司一样都是说SEO的内容呢?因为想做好SEO优化可以很简单,也可以不简单,很简单的方法大家应该都知道,那就是用一些手段让排名暂时靠前,不简单是因为,真要... 你的WordPress网站SEO友好吗?网站SEO检查清单 越来越多的人选择使用WordPress建站,一个原因是WordPress适合新手自学建站,另外一个原因是WordPress对SEO友好。但是你的网站真的对SEO友好吗?实际情况并非如此哦,不是说你使用 站点链接,Google搜索结果中出现网站子链接的方法介绍 我们在做Google SEO的时候,经常会发现搜索竞争对手网站的时候,搜索结果会包含子链接,也就是对手网站的其他目录的链接,这个功能叫做站点链接。本文奶爸就跟大家分享一下Google站点链接的生成方法... 链接诱饵案例:WordPress插件 写canonical tag时提到这是个外部链接的机会,有朋友问什么机会。我说的外部链接机会指的是链接诱饵,今天就举几个例子。 Google站长工具(已修复的)安全漏洞补记 从英国牛人David Naylor的博客上看到一个吓人的消息,Google站长工具突然出了个安全漏洞,有心人想的话,受影响的网站有可能被从Google中删除或者做些其它破坏。 WordPress最佳中文网站SEO插件推荐:Smart SEO Tool WordPress的SEO插件很多,之前奶爸推荐的外贸网站建议使用Rank Math,不过也有不少用户是使用WordPress搭建的中文网站,那么中文网站推荐使用这款Smart SEO Tool插件来 WordPress网站被Google快速收录的操作方法 WordPress是最适合做Google SEO的开源建站程序,奶爸这里给大家介绍下如何实现用WordPress搭建的新网站如何快速被Google收录。 网站收录前的准备 我们搭建的网站想要被搜索引擎 Google专利:怎样鉴别和处理垃圾链接 所以怎样鉴别和处理垃圾链接是个头疼的问题。搜索引擎头痛,老老实实做站的站长也头痛。
怎样利用XSS漏洞在其它网站注入链接?
2024-07-04 | 浏览: 26
前两天英国的SEO老手Tom Anthony曝出一个 Google蜘蛛存在的漏洞,可能被黑帽SEO利用XSS漏洞在别人网站注入链接,而且这些链接确定会被Google蜘蛛抓取。这个漏洞如果被大规模利用,显然是会影响权重流动和搜索排名的。
Tom去年11月就把这个漏洞汇报给Google了,不过到目前为止Google并没有解决这个漏洞的意思,他们的说法是“Google的现有保护机制应该能预防这种滥用,不过相关团队正在检查验证”。另外Google在回复Tom时提到了有些“内部沟通上的困难”,公司大了是不是都会有这种问题?
既然Google过了5个月都没有采取措施,Tom决定把漏洞公布出来,站长们好检查自己网站是否有XSS漏洞,提取采取预防措施,以防自己网站被注入链接。Google同意Tom公布相关信息,看来还是挺自信的。
什么是XSS攻击XSS攻击是Cross Site Scripting的缩写,跨站脚本攻击的意思。按说Cross Site Scripting的缩写应该是CSS,但就和页面样式表那个CSS重复了,所以跨站脚本攻击这个改成了XSS。
XSS是一种代码注入攻击。大部分网站都会有某些功能脚本是可以任意修改URL的,比如搜索功能,UGC用户贡献内容网站的提交功能,用脚本实现的转向等等。比如搜索概念,URL经常就是domain.com/search.php?keyword,或者domain.com/?s=keyword之类的(SEO每天一贴的搜索功能就是这个URL格式),其中的keyword是可以替换成任意字符的。
那么keyword部分被替换成脚本会发生什么?比如domain.com/?s=<script>alert(‘XSS’)</script>。有这种漏洞的网站就是在URL中注入恶意脚本时,没有进行安全过滤,而浏览器也没有分辨出是恶意脚本,所以执行了恶意脚本。
XSS可以被用来获取用户敏感信息,可以用来冒充用户向网站发出请求等等,还可以执行脚本,在生成的HTML代码中插入内容,这就是黑帽SEO可以利用来注入链接的漏洞。
怎样利用XSS漏洞在别人网站注入链接修改URL中的参数,替换为脚本,浏览器执行脚本,在HTML中插入内容,所以也可以插入链接。当然如果只是访问用户的浏览器上显示链接,搜索引擎不抓取这个URL的话,黑帽SEO也就不感兴趣了。问题就是 Google蜘蛛可以抓取被注入脚本的URL,也可以执行JS,所以也就可以看到被注入的链接。
防止XSS攻击,一是服务器端的程序要做安全过滤,最基本的是HTML转义,把<script>alert(‘XSS’)</script>当作被搜索的字符串,而不是要执行的脚本。二是浏览器端的XSS识别,现在的很多浏览器(如Chrome)看到URL中有可疑字符如script之类的,会直接拒绝打开页面。
如果Google蜘蛛和Google自己的Chrome浏览器一样能够识别XSS攻击,带有注入脚本的URL根本不抓取,就没有事情了。但根据Google官方文件说明,到目前为止,Google蜘蛛使用的是比较老的Chrome 41版本,而Chrome 41是没有XSS识别功能的。所以,有XSS程序漏洞的网站,有可能被Google蜘蛛抓取到被注入链接的URL。
Tom做了实验。某新银行(Revolut)网站有XSS漏洞(天哪,银行网站有XSS漏洞。不过现在已经补上了),Tom在Revolut域名上构造了个带有注入脚本的URL,浏览器执行后会在页面顶部放上个链接。Google蜘蛛会怎样处理这种URL呢?Tom用Google的页面移动友好性测试工具验证了一下,因为这个工具会按照 Google蜘蛛的方式渲染页面。结果是这样:
显然,Google能够抓取URL,执行注入的脚本,生成的页面顶部是有那个被注入的链接的。这可是来自银行域名的一个外部链接。
为了进一步验证,Tom把实验URL提交给Google,结果说明,Google索引了这个URL,快照显示,通过JS脚本注入的链接也正常出现在页面上:
Tom还发现,通过XSS注入,也可以添加、修改HTML中的标签,比如canonical标签,这个也是挺危险啊。不过这个和本帖XSS注入链接关系不大,就不细说了。
XSS攻击注入的链接有效果吗?仅仅能索引不一定说明问题,如果如某些垃圾链接一样被Google忽略,没有链接的效果,那也不能利用来操控外部链接。为了验证这种URL上的链接是否有链接效果,Tom进一步做了实验。
Tom在Revolut域名的URL上注入一个链接,指向自己实验网站上以前不存在、刚刚创建的一个页面,提交Revolut的URL,没多久,Google就抓取了Tom自己实验网站上的新页面,而且索引了这个页面,出现在搜索结果中:
这说明,被注入的链接,至少是能起到吸引蜘蛛抓取的作用的。对权重流动和排名有没有普通链接一样的作用呢?Tom顾虑到可能会对正常搜索结果的影响而没有进一步试验了。
这里不得不说,国外很多SEO是很有情怀的。我在想,如果是国内SEO们发现这个等级的漏洞,会报告给搜索引擎补上漏洞吗?大概会把这个漏洞为己所用,运用到死吧。
对搜索结果的潜在影响有多大?如果这种方式注入的链接有正常链接的效果,对权重、排名有效,那么只要被黑帽SEO使用,对操控权重、排名显然有很大帮助,对搜索结果有多大潜在影响呢?
https://www.openbugbounty.org/ 网站上列出了12万5千多有XSS漏洞的网站,其中包括260个.gov政府网站,971个.edu域名网站,包括了前500个链接最多网站中的195个,想象一下潜在的影响会有多大。
当然,Google很自信,他们的防御机制应该可以鉴别出这种黑帽方法,我猜想Google内部调查说明,这种方法到目前为止没有被利用。不过,这是 Tom发布信息之前,现在呢?我估计有很多人已经在疯狂实验这个方法的有效性了。我这篇帖子发出来,国内肯定也会有SEO去尝试。那么,大规模滥用这种注入方法的情况下,Google的预防机制还会有效吗?
另一方面,几乎可以肯定, Tom的帖子发出来,会迫使Google必须要积极采取措施,补上这个漏洞,不能让XSS攻击注入链接真的成为有效的SEO作弊方法。想尝试的,尽快吧,很快就会没用的。
5月8号更新:Google在7号的Google I/O开发大会上宣布,Google蜘蛛将使用最新版的Chrome引擎,目前版本是74,以后都会保持使用最新版本。看来Google早就做了准备,所以这么有信心。
利用Sitemap提交漏洞劫持其它网站排名
我个人虽然不建议做黑帽SEO,但了解一些黑帽技术是白帽SEO的必修课。国外一些黑帽对SEO的探索出人意料,脑洞很清奇。
2021网站服务器安全优化-跨站脚本攻击XSS
前一段时间SEO禅介绍了WebPageTest这个网站测速SEO工具,其中第一项分数就是安全测试,今天SEO禅就来分享一下关于如何防止网站被跨站脚本XSS攻击,首先还是老套路,做这件事之前我们要知道这...
2021网站服务器安全优化-SQL注入攻击
为什么SEO禅的博客不像其他SEO同行,SEO公司一样都是说SEO的内容呢?因为想做好SEO优化可以很简单,也可以不简单,很简单的方法大家应该都知道,那就是用一些手段让排名暂时靠前,不简单是因为,真要...
你的WordPress网站SEO友好吗?网站SEO检查清单
越来越多的人选择使用WordPress建站,一个原因是WordPress适合新手自学建站,另外一个原因是WordPress对SEO友好。但是你的网站真的对SEO友好吗?实际情况并非如此哦,不是说你使用
站点链接,Google搜索结果中出现网站子链接的方法介绍
我们在做Google SEO的时候,经常会发现搜索竞争对手网站的时候,搜索结果会包含子链接,也就是对手网站的其他目录的链接,这个功能叫做站点链接。本文奶爸就跟大家分享一下Google站点链接的生成方法...
链接诱饵案例:WordPress插件
写canonical tag时提到这是个外部链接的机会,有朋友问什么机会。我说的外部链接机会指的是链接诱饵,今天就举几个例子。
Google站长工具(已修复的)安全漏洞补记
从英国牛人David Naylor的博客上看到一个吓人的消息,Google站长工具突然出了个安全漏洞,有心人想的话,受影响的网站有可能被从Google中删除或者做些其它破坏。
WordPress最佳中文网站SEO插件推荐:Smart SEO Tool
WordPress的SEO插件很多,之前奶爸推荐的外贸网站建议使用Rank Math,不过也有不少用户是使用WordPress搭建的中文网站,那么中文网站推荐使用这款Smart SEO Tool插件来
WordPress网站被Google快速收录的操作方法
WordPress是最适合做Google SEO的开源建站程序,奶爸这里给大家介绍下如何实现用WordPress搭建的新网站如何快速被Google收录。 网站收录前的准备 我们搭建的网站想要被搜索引擎
Google专利:怎样鉴别和处理垃圾链接
所以怎样鉴别和处理垃圾链接是个头疼的问题。搜索引擎头痛,老老实实做站的站长也头痛。