设计出品
扫描关注网站建设微信号

扫一扫微信二维码

如何使用XSS漏洞将链接注入其他网站?

新乡云优化2020-03-07经验之谈
如何使用XSS漏洞将链接注入其他网站?
两天前,英国SEO资深人士Tom Anthony揭示了Google蜘蛛中的一个漏洞,黑帽SEO可以使用该漏洞将链接注入到其他使用漏洞的网站中XSS,这些链接肯定会被Google蜘蛛跟踪。如果大规模利用此漏洞,则显然会影响流量和搜索排名。
Tom于去年11月向Google报告了此漏洞,但到目前为止Google尚未解决此漏洞。他的声明是“ Google的现有保护机制应避免这种滥用,但相关团队正在核实。”另外,谷歌在回应汤姆时提到了“内部沟通的困难”。公司成长时会遇到这样的问题吗?
由于Google已有5个月未采取任何措施,因此Tom决定发布此漏洞。网站管理员可以在其网站上验证XSS的漏洞,并采取预防措施以防止其网站注入链接。 Google同意Tom的信息发布,这似乎很安全。
什么是XSS攻击?
XSS攻击是“跨站点脚本”的缩写,这意味着跨站点脚本攻击。据说跨站点脚本的缩写应该是CSS,但它与页面样式表的CSS相同,因此跨站点脚本攻击被更改为XSS。
XSS是一种代码注入攻击。大多数网站将具有某些可以任意修改URL的功能脚本,例如搜索功能,发送网站的功能或UGC用户提供的内容。 ,通过脚本重定向等。例如,搜索概念,URL通常是xxxxjy.top/search.php?keyword或xxxxjy.top/?s=keyword或类似名称(SEO出版物的搜索功能每天都是这种网址格式),其中关键字可以用任何字符替换
那么,用脚本替换关键字部分时会发生什么呢?例如xxxxjy.top/?s=<script>alert(&XSS *)</ script>。将恶意脚本注入URL时,具有此漏洞的网站不会执行安全筛选,并且浏览器不会将其识别为恶意脚本,因此将执行恶意脚本。
XSS可以用于从用户那里获取机密信息,可以用作用户向网站等发出请求,还可以执行脚本以在生成的HTML代码中插入内容。这是Black Hat SEO可以用来注入链接的漏洞。
如何使用XSS漏洞将链接注入其他人的网站
修改URL中的参数并将其替换为脚本。浏览器运行脚本并将内容插入HTML,因此您也可以插入链接。当然,如果您仅访问用户的浏览器以显示链接,并且搜索引擎未抓取URL,那么黑帽SEO将不会引起您的兴趣。问题是Google蜘蛛可以跟踪注入的脚本的URL,也可以运行JS,因此您可以看到注入的链接。
为避免XSS攻击,第一件事是对服务器端程序执行安全筛选。最基本的是HTML的转义。 <Script>警报('XSS')</ script>用作搜索的字符串,而不是要执行的脚本芍。 。第二个是浏览器端的XSS识别。现在,许多浏览器(例如Chrome)在URL中看到可疑字符(例如脚本),它们将直接拒绝打开页面。
如果Google蜘蛛能够识别Google的Chrome浏览器之类的XSS攻击,则根本不会抓取带有注入脚本的URL,并且不会发生任何事情。但是,根据Google的官方文档,Google Spider迄今为止使用的是Chrome 41的早期版本,而Chrome 41没有XSS识别功能。因此,Google Spider可以跟踪一个具有XSS程序漏洞的网站,该网站对所注入链接的URL而言。
汤姆做了实验。一个新的银行网站(Revolut)具有XSS漏洞(哦,我的天哪,该银行的网站具有XSS漏洞。但是现在它已修复),Tom构建了一个URL,该URL中注入了脚本Revolut,浏览器将在页面顶部放置一个链接。 Google蜘蛛将如何处理此类网址? Tom使用Google移动页面兼容性测试工具对此进行了验证,因为该工具显示的页面与Google Spider一样。结果是这样的:
XSS攻击注入链接
显然,Google可以跟踪URL,运行注入的脚本,并且所生成的链接的注入链接位于顶部。这是银行域名的外部链接。
为了进行进一步的验证,汤姆将实验URL发送给了Google。结果显示Google对该URL进行了索引,快照显示通过JS脚本注入的链接也正常显示在页面上:
由XSS注入的Google索引链接
Tom还发现,通过XSS注入,您还可以添加和修改HTML标签,例如规范标签,这也非常危险。但是,这与本文中的XSS注入链接无关,因此不再赘述。
XSS攻击注入的链接是否有效?
索引不一定能解释问题。如果Google将其视为某些垃圾邮件链接而没有链接效果,则不能将其用于处理外部链接。为了验证此URL中的链接是否具有链接效果,Tom试验了n m m m s。
Tom将一个链接注入到Revolut域名的URL中,指向一个链接,该页面在他自己的实验网站上不存在,而是刚刚创建的,然后发送到Revolut URL。 Google很快就可以在Tom自己的网站上跟踪新页面以及Tom的实验索引,该页面将显示在搜索结果中:
这表明注入的链接至少可以吸引蜘蛛。它对重量流量和分类的作用是否与普通链节相同?汤姆担心如果不做进一步试验,可能会对正常搜索结果产生影响。
我必须在这里说,许多外国SEO都非常贴心。我想知道国内的SEO是否发现了这种级别的漏洞,是否会通知搜索引擎以弥补漏洞? probably您可能会自行使用芍这个逃生通道,直到死亡。
对搜索结果有何潜在影响?
如果以这种方式注入的链接具有正常链接的作用,并且对重量和分类有效,那么每当被黑帽SEO使用时,显然将有助于操纵重量和分类。它将对搜索结果产生多少潜在影响?
https://xxxxjy.top/网站列出了超过125,000个具有XSS漏洞的网站,包括260个政府.gov网站和971 .edu域网站,其中包括500个链接最多的网站。 195,想象一下潜在的影响有多大。
当然,谷歌有信心其防御机制应该能够识别这种黑帽方法。我猜Google的内部研究表明,到目前为止尚未使用这种方法。但这是在汤姆发布信息之前吗?我估计许多人已经对这种方法的有效性感到疯狂。我发布了这篇文章,在中国肯定会有SEO尝试。那么,在大规模滥用这种注射方法的情况下,Google的预防机制是否有效?
另一方面,几乎可以肯定的是,汤姆(Tom)的出版物将迫使Google采取积极措施来填补这一空白,并且不会使XSS攻击注入链接真正成为有效的SEO陷阱的方法。如果您想尽快尝试,它将很快有用。
5月8日更新:Google在7月的Google I / O开发大会上宣布,Google Spider将使用最新版本的Chrome引擎,当前版本为74,并将继续使用最新版本。看来Google已经准备了很长时间,所以它很有信心。
文章关键词