如何利用XSS漏洞注入惡意鏈接?(揭示XSS注入的方法與技巧)
.jpg)
前兩天英國(guó)的SEO老手Tom Anthony曝出一個(gè) Google蜘蛛存在的漏洞,可能被黑帽SEO利用XSS漏洞在別人網(wǎng)站注入鏈接,而且這些鏈接確定會(huì)被Google蜘蛛抓取。這個(gè)漏洞如果被大規(guī)模利用,顯然是會(huì)影響權(quán)重流動(dòng)和搜索排名的。
Tom去年11月就把這個(gè)漏洞匯報(bào)給Google了,不過(guò)到目前為止Google并沒(méi)有解決這個(gè)漏洞的意思,他們的說(shuō)法是“Google的現(xiàn)有保護(hù)機(jī)制應(yīng)該能預(yù)防這種濫用,不過(guò)相關(guān)團(tuán)隊(duì)正在檢查驗(yàn)證”。另外Google在回復(fù)Tom時(shí)提到了有些“內(nèi)部溝通上的困難”,公司大了是不是都會(huì)有這種問(wèn)題?
既然Google過(guò)了5個(gè)月都沒(méi)有采取措施,Tom決定把漏洞公布出來(lái),站長(zhǎng)們好檢查自己網(wǎng)站是否有XSS漏洞,提取采取預(yù)防措施,以防自己網(wǎng)站被注入鏈接。Google同意Tom公布相關(guān)信息,看來(lái)還是挺自信的。
什么是XSS攻擊
XSS攻擊是Cross Site Scripting的縮寫(xiě),跨站腳本攻擊的意思。按說(shuō)Cross Site Scripting的縮寫(xiě)應(yīng)該是CSS,但就和頁(yè)面樣式表那個(gè)CSS重復(fù)了,所以跨站腳本攻擊這個(gè)改成了XSS。
XSS是一種代碼注入攻擊。大部分網(wǎng)站都會(huì)有某些功能腳本是可以任意修改URL的,比如搜索功能,UGC用戶(hù)貢獻(xiàn)內(nèi)容網(wǎng)站的提交功能,用腳本實(shí)現(xiàn)的轉(zhuǎn)向等等。比如搜索概念,URL經(jīng)常就是http://domain.com/search.php?keyword,或者h(yuǎn)ttp://domain.com/?s=keyword之類(lèi)的(SEO每天一貼的搜索功能就是這個(gè)URL格式),其中的keyword是可以替換成任意字符的。
那么keyword部分被替換成腳本會(huì)發(fā)生什么?比如http://domain.com/?s=<script>alert(‘XSS’)</script>。有這種漏洞的網(wǎng)站就是在URL中注入惡意腳本時(shí),沒(méi)有進(jìn)行安全過(guò)濾,而瀏覽器也沒(méi)有分辨出是惡意腳本,所以執(zhí)行了惡意腳本。
XSS可以被用來(lái)獲取用戶(hù)敏感信息,可以用來(lái)冒充用戶(hù)向網(wǎng)站發(fā)出請(qǐng)求等等,還可以執(zhí)行腳本,在生成的HTML代碼中插入內(nèi)容,這就是黑帽SEO可以利用來(lái)注入鏈接的漏洞。
怎樣利用XSS漏洞在別人網(wǎng)站注入鏈接
修改URL中的參數(shù),替換為腳本,瀏覽器執(zhí)行腳本,在HTML中插入內(nèi)容,所以也可以插入鏈接。當(dāng)然如果只是訪(fǎng)問(wèn)用戶(hù)的瀏覽器上顯示鏈接,搜索引擎不抓取這個(gè)URL的話(huà),黑帽SEO也就不感興趣了。問(wèn)題就是 Google蜘蛛可以抓取被注入腳本的URL,也可以執(zhí)行JS,所以也就可以看到被注入的鏈接。
防止XSS攻擊,一是服務(wù)器端的程序要做安全過(guò)濾,最基本的是HTML轉(zhuǎn)義,把<script>alert(‘XSS’)</script>當(dāng)作被搜索的字符串,而不是要執(zhí)行的腳本。二是瀏覽器端的XSS識(shí)別,現(xiàn)在的很多瀏覽器(如Chrome)看到URL中有可疑字符如script之類(lèi)的,會(huì)直接拒絕打開(kāi)頁(yè)面。
如果Google蜘蛛和Google自己的Chrome瀏覽器一樣能夠識(shí)別XSS攻擊,帶有注入腳本的URL根本不抓取,就沒(méi)有事情了。但根據(jù)Google官方文件說(shuō)明,到目前為止,Google蜘蛛使用的是比較老的Chrome 41版本,而Chrome 41是沒(méi)有XSS識(shí)別功能的。所以,有XSS程序漏洞的網(wǎng)站,有可能被Google蜘蛛抓取到被注入鏈接的URL。
Tom做了實(shí)驗(yàn)。某新銀行(Revolut)網(wǎng)站有XSS漏洞(天哪,銀行網(wǎng)站有XSS漏洞。不過(guò)現(xiàn)在已經(jīng)補(bǔ)上了),Tom在Revolut域名上構(gòu)造了個(gè)帶有注入腳本的URL,瀏覽器執(zhí)行后會(huì)在頁(yè)面頂部放上個(gè)鏈接。Google蜘蛛會(huì)怎樣處理這種URL呢?Tom用Google的頁(yè)面移動(dòng)友好性測(cè)試工具驗(yàn)證了一下,因?yàn)檫@個(gè)工具會(huì)按照 Google蜘蛛的方式渲染頁(yè)面。
顯然,Google能夠抓取URL,執(zhí)行注入的腳本,生成的頁(yè)面頂部是有那個(gè)被注入的鏈接的。這可是來(lái)自銀行域名的一個(gè)外部鏈接。
為了進(jìn)一步驗(yàn)證,Tom把實(shí)驗(yàn)URL提交給Google,結(jié)果說(shuō)明,Google索引了這個(gè)URL,快照顯示,通過(guò)JS腳本注入的鏈接也正常出現(xiàn)在頁(yè)面上:
Tom還發(fā)現(xiàn),通過(guò)XSS注入,也可以添加、修改HTML中的標(biāo)簽,比如canonical標(biāo)簽,這個(gè)也是挺危險(xiǎn)啊。不過(guò)這個(gè)和本帖XSS注入鏈接關(guān)系不大,就不細(xì)說(shuō)了。
XSS攻擊注入的鏈接有效果嗎?
僅僅能索引不一定說(shuō)明問(wèn)題,如果如某些垃圾鏈接一樣被Google忽略,沒(méi)有鏈接的效果,那也不能利用來(lái)操控外部鏈接。為了驗(yàn)證這種URL上的鏈接是否有鏈接效果,Tom進(jìn)一步做了實(shí)驗(yàn)。
Tom在Revolut域名的URL上注入一個(gè)鏈接,指向自己實(shí)驗(yàn)網(wǎng)站上以前不存在、剛剛創(chuàng)建的一個(gè)頁(yè)面,提交Revolut的URL,沒(méi)多久,Google就抓取了Tom自己實(shí)驗(yàn)網(wǎng)站上的新頁(yè)面,而且索引了這個(gè)頁(yè)面,出現(xiàn)在搜索結(jié)果中:
這說(shuō)明,被注入的鏈接,至少是能起到吸引蜘蛛抓取的作用的。對(duì)權(quán)重流動(dòng)和排名有沒(méi)有普通鏈接一樣的作用呢?Tom顧慮到可能會(huì)對(duì)正常搜索結(jié)果的影響而沒(méi)有進(jìn)一步試驗(yàn)了。
這里不得不說(shuō),國(guó)外很多SEO是很有情懷的。我在想,如果是國(guó)內(nèi)SEO們發(fā)現(xiàn)這個(gè)等級(jí)的漏洞,會(huì)報(bào)告給搜索引擎補(bǔ)上漏洞嗎?大概會(huì)把這個(gè)漏洞為己所用,運(yùn)用到死吧。
對(duì)搜索結(jié)果的潛在影響有多大?
如果這種方式注入的鏈接有正常鏈接的效果,對(duì)權(quán)重、排名有效,那么只要被黑帽SEO使用,對(duì)操控權(quán)重、排名顯然有很大幫助,對(duì)搜索結(jié)果有多大潛在影響呢?
https://www.openbugbounty.org/ 網(wǎng)站上列出了12萬(wàn)5千多有XSS漏洞的網(wǎng)站,其中包括260個(gè).gov政府網(wǎng)站,971個(gè).edu域名網(wǎng)站,包括了前500個(gè)鏈接最多網(wǎng)站中的195個(gè),想象一下潛在的影響會(huì)有多大。
當(dāng)然,Google很自信,他們的防御機(jī)制應(yīng)該可以鑒別出這種黑帽方法,我猜想Google內(nèi)部調(diào)查說(shuō)明,這種方法到目前為止沒(méi)有被利用。不過(guò),這是 Tom發(fā)布信息之前,現(xiàn)在呢?我估計(jì)有很多人已經(jīng)在瘋狂實(shí)驗(yàn)這個(gè)方法的有效性了。我這篇帖子發(fā)出來(lái),國(guó)內(nèi)肯定也會(huì)有SEO去嘗試。那么,大規(guī)模濫用這種注入方法的情況下,Google的預(yù)防機(jī)制還會(huì)有效嗎?
另一方面,幾乎可以肯定, Tom的帖子發(fā)出來(lái),會(huì)迫使Google必須要積極采取措施,補(bǔ)上這個(gè)漏洞,不能讓XSS攻擊注入鏈接真的成為有效的SEO作弊方法。想嘗試的,盡快吧,很快就會(huì)沒(méi)用的。
5月8號(hào)更新:Google在7號(hào)的Google I/O開(kāi)發(fā)大會(huì)上宣布,Google蜘蛛將使用最新版的Chrome引擎,目前版本是74,以后都會(huì)保持使用最新版本。看來(lái)Google早就做了準(zhǔn)備,所以就這么有信心。
