您當前的位置:首頁 > seo培訓 > seo技術培訓網

seo技術培訓教程:Google搜索引擎中的安全漏洞 通過開放重定向竊取其他站點的權重

2018-04-04 16:29:32 來源: seofuwu 作者: 滿山紅seo培訓
  
  
摘要: seo技術培訓教程:Google搜索引擎中的安全漏洞 通過開放重定向竊取其他站點的權重概述:
Google提供了一個開放的URL,你可以通過它"ping"一個XML站點地圖,他們會獲取并對其進行

 seo技術培訓教程:Google搜索引擎中的安全漏洞 通過開放重定向竊取其他站點的權重


概述:

seo技術培訓教程

Google提供了一個開放的URL,你可以通過它"ping"一個XML站點地圖,他們會獲取并對其進行解析的,該文件可以包含一些索引指令。我發現,對于任何開放重定向的網站(例如,LinkedIn,Facebook和其他1000多個電子商務網站),你可以ping一個你(攻擊者)自己的站點,Google會把這個錯誤站點當做你要仿冒的知名站點。

我在一個在新的網站通過hreflang指令將測試了這個bug(本來沒有期望能有啥好的效果),沒想到很快,就將它推到美國重金主題的谷歌搜索結果的前幾頁中,使站點看起來像是屬于一個大型英國電子商務網站。

目前谷歌已經修復這個問題,并獎勵我了1337美元的bug bounty。我相信這可能是第一次在他們在實際搜索引擎中上給出的安全問題獎勵,因為這個bug直接影響到網站的排名。

作為我的日常研究工作的一部分,我最近發現了一個問題,允許攻擊者向Google提交一個XML站點地圖,以查找未被谷歌收錄的的站點。由于這些文件可以包含索引指令,如hreflang,因此攻擊者可以利用這些指令幫助自己的網站在Google搜索結果中的排名。

為了測試,我僅僅花了12美元就完成了我測試環境的搭建,將一個新注冊的沒有任何入站鏈接的域名,推在了谷歌搜索結果的頂級收費搜索主題的第一頁排名。

XML 站點地圖和Ping機制

Google允許通過提交XML網站地圖,用于幫助引擎爬蟲主動發現URL,他還允許使用hreflang指令用于翻譯一個頁面國際化的各不同語言版本的內容(例如,"hey Google, this is the US page, but I have a German page on this URL…")。目前還不清楚Google是如何使用解析和使用這些指令的(就像任何與Google搜索算法相關的指令一樣),但似乎hreflang允許一個URL從另一個URL "借用"索引權重和將一個已有URL的索引權重用于另一個URL(比如大多數人鏈接到US.com版本,但是德國版的版本可以借用這個權重,以便在Google.de中獲得更好的排名)。

你可以通過Google Search Console,在robots.txt中或通過特殊的"ping"URL,為你的域名提交XML 站點地圖。谷歌自己的文檔似乎有點矛盾。在頁面的頂部,他們建議是通過ping機制提交站點地圖,但在頁面的底部又對此發出警告:

seo技術培訓教程

但是,根據經驗判斷,你完全可以通過ping機制提交一個新的XML站點地圖,Googlebot通常在ping后的10-15秒內獲取文件。重要的是,Google在頁面上也提到過幾次,如果你通過ping機制提交站點地圖,它將不會顯示在你的搜索Console中:

seo技術培訓教程

作為一個相關測試,我測試了是否可以通過XML站點地圖添加其他已知的搜索指令(比如noindex,rel-canonical),以及嘗試一堆XML攻擊,但似乎對Google并沒有使用到。

Google Search Console(GSC)提交

如果你嘗試在GSC中提交XML站點地圖,而且其中包含了你未被授權的其他域的URL,則GSC會拒絕他們:

seo技術培訓教程

開放重定向

許多網站使用URL參數來控制重定向:

seo技術培訓教程

在這個例子中,我將被重定向(登錄后)到page.html。安全限制不好的網站允許使用所謂的"開放重定向",這些參數允許重定向到不同的域:

seo技術培訓教程

通常不需要任何交互(如登錄),所以會立即將用戶重定向:

seo技術培訓教程

開放重定向非常普遍,通常認為不有什么危險;由于這些原因,Google也沒有將他們納入到bug獎勵計劃中。但是,在可能的情況下,企業應該會盡量避免這些情況發生,但你通常可以繞過他們的保護:

seo技術培訓教程

Tesco是一家英國零售商,收入超過500億英鎊,超過10億英鎊的收入來自其網站。我向特易購(Tesco)報告了這個例子(還有在我的研究中發現的其他公司),他們已經修復了這個問題。

通過打開重定向Ping Sitemaps

現在,你可能已經猜到了我要嘗試的方法。事實證明,當你ping一個XML站點地圖時,如果你提交的URL是一個重定向,谷歌將跟著他重定向,即便跨域了。而且,它似乎還將該XML站點地圖與進行重定向到域進行關聯,并將重定向后發現的站點地圖視為該域的授權。例如:

seo技術培訓教程

本例中,evil.xml站點地圖托管在blue.com上,但Google會將其關聯為green.com的所有權并為其授權。使用此功能,你可以為沒有權限的網站提交XML站點地圖,并發送Google搜索指令。

實驗:使用hreflang指令免費"竊取"權重排名

現在我了知道了各個細節部分,但是還沒有證實谷歌會真的相信跨域重定向的XML站點地圖,所以我做了一個試驗來測試它。我還做了很多更小的測試來了解了解(可能能各種死路)各部分,但并沒有指望這個試驗能夠像預期的那樣行得通。

我為一家沒有在美國經營的英國零售公司創建了一個虛假域名,并且在AWS服務器上創建了一個模仿該網站(主要是通過收集合法內容并對其進行重新設計,例如修改貨幣/地址等)。為了保護他們,在此我隱匿公司名(和行業),我們姑且稱他為victim.com。

我在evil.com上創建了一個虛假的站點地圖,只包含victim.com的URL。這些URL包含hreflang條目指向evil.com上等效URL,表明victim.com的美國版本。現在,我用Google的ping機制通過victim.com上的開放重定向URL提交了網站地圖。

在48小時內,該網站開始有了少量來自于搜索引擎為長尾訪問(SEMRush屏幕截圖):

seo技術培訓教程

再過兩天,可以有相關主題的結果第一頁上開始出現,同頁上有如亞馬遜和沃爾瑪等。

seo技術培訓教程

此外,evil.com的Google Search Console也顯示victim.com正在鏈接到evil.com,但實際上這明顯是不對的:

seo技術培訓教程

同時,我還發現我也能在evil.com的GSC中為victim.com提交XML站點地圖:

seo技術培訓教程

Google似乎已將這些網站鏈接起來,在evil.com的GSC現在有些功能可以影響victim.com的設置。我現在也可以跟蹤我提交的站點地圖的索引(你可以看到我現在有數千頁索引)。

Searchmetrics顯示了流量的增長和其價值:

seo技術培訓教程

此站點的GSC顯示通過Google有超過100萬的搜索,展示次數和超過10,000次點擊次數;然而,除了提交XML站點地圖,我什么都沒做!

注意到,我并沒有對這個evil站點做任何展示,如果想要利用他來欺騙人們點擊的話,應該可以賺很多錢。或者通過設置廣告,甚至還可以想辦法把這種流量變現。在我看來,這給Google訪問者帶來了嚴重的風險,同時也給依賴Google搜索流量的公司帶來了風險。訪問量還在增長,但我關閉了我的試驗站,并放棄了后續實驗,因為害怕造成損害。這是一個真正黑客應該具有的職業道德,點贊。

討論

對于victim.com來說,這種方法完全無法檢測,XML站點地圖不會顯示在他們的終端,如果有人做了想我做事情的,并且用它謀取經濟利益的話,那么也沒有啥方法監控的到。除了你的競爭對手會對你的站點排名感到不可思意外。(如上面例子中的亞馬遜,沃爾瑪和塔吉特等的搜索結果,他們可都是花了重金才拿到那個位置的)。

就黑帽SEO而言,這是一個明確的用法,而且這使我意識到對算法漏洞的徹底利用第一個例子,而不是操縱其他排名因子。這個問題的潛在財務影響的也并非微不足道,想象一下以特易購或類似網站為目標的潛在利潤(如果有機會我會做更多的測試以便收集信息,但會嚴格限制在沒有任何潛在的危害的情況下)。

Google已經為此獎勵了1337美元的獎金,一如既往,于Google團隊打交道非常開心,感謝他們。

披露時間表

•2017年9月23日,我提交初步的bug報告。

•2017年9月25日,谷歌回應 - 他們調整了bug并正在研究它。

•2017年10月2日,我發送了更多細節。

•10月9日到11月6日,一些來回狀態更新。

•2017年11月6日 - 谷歌表示:"本報告難以確定可以采取哪些措施來防止此類行為及其對搜索結果的影響。我已與團隊聯系以獲得最終決定。正對你的報告,他們一直在對數據進行篩選,以確定你描述的行為有多普遍,以及這是否應該立即采取相應措施。"

2017年11月6日,我回復說,他們沒有遵循針對ping的站點地圖的跨域重定向,沒有什么好的理由,它可能只是GSC的唯一功能。

2018年1月3日,我要求更新狀態。

2018年1月15日,谷歌搜索回復道:"對于延期抱歉,我不想過早結束這份報告,因為我們還無法做出明確的決定,是否可以用重定向鏈解決這種行為而不會破壞很多合法用例。我已經回到團隊審查這份報告以得到最終答案,我已經回到團隊審查這份報告以獲得最終答案,并會在本周回復你。"

2018年2月15日,谷歌更新,讓我知道報告中存在一個錯誤,VRP董事會將討論獎勵。

2018年3月6日,谷歌讓我知道通知過他們已批復1337美元的獎金。

2018年3月6日,我與Google分享了這篇文章的草稿,并要求允許得到公開。

2018年3月12日,谷歌讓我知道他們還沒有完成修復,并要求不要公開。

2018年3月25日,谷歌證實該修補程序已經生效,并允許我發布文章。

本文翻譯子Tom Anthony 的blog,原文地址限于平臺審查(略)

本文由滿山紅SEO培訓編輯收集于網絡不代表本站觀點,如果您還想了解更多關于網站seo優化與SEO培訓視頻教程的文章,請點擊查看seo培訓seo顧問服務的其它文章,請關注滿山紅seo快速排名優化平臺(www.99014418.com).

上一篇:SEO優化培訓:3大核心,8大步驟操作兵法,讓您徹底讀懂SEO
下一篇:返回列表
熱門推薦
SEO顧問
黑帽seo
晉江網站建設
桂林seo:合格的SEOer,應具備哪些能力
SEO培訓學習方式是否正確,決定SEO技術水平高低
樂陵seo:觀百度需求,思SEO優化方向
seo技術培訓教程:Google搜索引擎中的安全漏洞 通過開放重定向竊取其他站點的權重
百度seo排名培訓:企業產品網站三個月關鍵詞排名上百度首頁排名策略
seo實戰培訓王乃用:內容營銷來提升長尾詞SEO優化排名技巧
速貝seo實戰培訓:搜索引擎算法不斷升級 未來seo該怎么做