如何利用XSS漏洞注入惡意鏈接?(揭示XSS注入的方法與技巧)

      2023-11-02 未知 黑帽SEO
      如何利用XSS漏洞注入惡意鏈接?(揭示XSS注入的方法與技巧)

      前兩天英國的SEO老手Tom Anthony曝出一個 Google蜘蛛存在的漏洞,可能被黑帽SEO利用XSS漏洞在別人網站注入鏈接,而且這些鏈接確定會被Google蜘蛛抓取。這個漏洞如果被大規模利用,顯然是會影響權重流動和搜索排名的。

      Tom去年11月就把這個漏洞匯報給Google了,不過到目前為止Google并沒有解決這個漏洞的意思,他們的說法是“Google的現有保護機制應該能預防這種濫用,不過相關團隊正在檢查驗證”。另外Google在回復Tom時提到了有些“內部溝通上的困難”,公司大了是不是都會有這種問題?

      既然Google過了5個月都沒有采取措施,Tom決定把漏洞公布出來,站長們好檢查自己網站是否有XSS漏洞,提取采取預防措施,以防自己網站被注入鏈接。Google同意Tom公布相關信息,看來還是挺自信的。

      什么是XSS攻擊

      XSS攻擊是Cross Site Scripting的縮寫,跨站腳本攻擊的意思。按說Cross Site Scripting的縮寫應該是CSS,但就和頁面樣式表那個CSS重復了,所以跨站腳本攻擊這個改成了XSS。

      XSS是一種代碼注入攻擊。大部分網站都會有某些功能腳本是可以任意修改URL的,比如搜索功能,UGC用戶貢獻內容網站的提交功能,用腳本實現的轉向等等。比如搜索概念,URL經常就是http://domain.com/search.php?keyword,或者http://domain.com/?s=keyword之類的(SEO每天一貼的搜索功能就是這個URL格式),其中的keyword是可以替換成任意字符的。

      那么keyword部分被替換成腳本會發生什么?比如http://domain.com/?s=<script>alert(‘XSS’)</script>。有這種漏洞的網站就是在URL中注入惡意腳本時,沒有進行安全過濾,而瀏覽器也沒有分辨出是惡意腳本,所以執行了惡意腳本。

      XSS可以被用來獲取用戶敏感信息,可以用來冒充用戶向網站發出請求等等,還可以執行腳本,在生成的HTML代碼中插入內容,這就是黑帽SEO可以利用來注入鏈接的漏洞。

      怎樣利用XSS漏洞在別人網站注入鏈接

      修改URL中的參數,替換為腳本,瀏覽器執行腳本,在HTML中插入內容,所以也可以插入鏈接。當然如果只是訪問用戶的瀏覽器上顯示鏈接,搜索引擎不抓取這個URL的話,黑帽SEO也就不感興趣了。問題就是 Google蜘蛛可以抓取被注入腳本的URL,也可以執行JS,所以也就可以看到被注入的鏈接。

      防止XSS攻擊,一是服務器端的程序要做安全過濾,最基本的是HTML轉義,把<script>alert(‘XSS’)</script>當作被搜索的字符串,而不是要執行的腳本。二是瀏覽器端的XSS識別,現在的很多瀏覽器(如Chrome)看到URL中有可疑字符如script之類的,會直接拒絕打開頁面。

      如果Google蜘蛛和Google自己的Chrome瀏覽器一樣能夠識別XSS攻擊,帶有注入腳本的URL根本不抓取,就沒有事情了。但根據Google官方文件說明,到目前為止,Google蜘蛛使用的是比較老的Chrome 41版本,而Chrome 41是沒有XSS識別功能的。所以,有XSS程序漏洞的網站,有可能被Google蜘蛛抓取到被注入鏈接的URL。

      Tom做了實驗。某新銀行(Revolut)網站有XSS漏洞(天哪,銀行網站有XSS漏洞。不過現在已經補上了),Tom在Revolut域名上構造了個帶有注入腳本的URL,瀏覽器執行后會在頁面頂部放上個鏈接。Google蜘蛛會怎樣處理這種URL呢?Tom用Google的頁面移動友好性測試工具驗證了一下,因為這個工具會按照 Google蜘蛛的方式渲染頁面。

      顯然,Google能夠抓取URL,執行注入的腳本,生成的頁面頂部是有那個被注入的鏈接的。這可是來自銀行域名的一個外部鏈接。

      為了進一步驗證,Tom把實驗URL提交給Google,結果說明,Google索引了這個URL,快照顯示,通過JS腳本注入的鏈接也正常出現在頁面上:

      Tom還發現,通過XSS注入,也可以添加、修改HTML中的標簽,比如canonical標簽,這個也是挺危險啊。不過這個和本帖XSS注入鏈接關系不大,就不細說了。

      XSS攻擊注入的鏈接有效果嗎?

      僅僅能索引不一定說明問題,如果如某些垃圾鏈接一樣被Google忽略,沒有鏈接的效果,那也不能利用來操控外部鏈接。為了驗證這種URL上的鏈接是否有鏈接效果,Tom進一步做了實驗。

      Tom在Revolut域名的URL上注入一個鏈接,指向自己實驗網站上以前不存在、剛剛創建的一個頁面,提交Revolut的URL,沒多久,Google就抓取了Tom自己實驗網站上的新頁面,而且索引了這個頁面,出現在搜索結果中:

      這說明,被注入的鏈接,至少是能起到吸引蜘蛛抓取的作用的。對權重流動和排名有沒有普通鏈接一樣的作用呢?Tom顧慮到可能會對正常搜索結果的影響而沒有進一步試驗了。

      這里不得不說,國外很多SEO是很有情懷的。我在想,如果是國內SEO們發現這個等級的漏洞,會報告給搜索引擎補上漏洞嗎?大概會把這個漏洞為己所用,運用到死吧。

      對搜索結果的潛在影響有多大?

      如果這種方式注入的鏈接有正常鏈接的效果,對權重、排名有效,那么只要被黑帽SEO使用,對操控權重、排名顯然有很大幫助,對搜索結果有多大潛在影響呢?

      https://www.openbugbounty.org/ 網站上列出了12萬5千多有XSS漏洞的網站,其中包括260個.gov政府網站,971個.edu域名網站,包括了前500個鏈接最多網站中的195個,想象一下潛在的影響會有多大。

      當然,Google很自信,他們的防御機制應該可以鑒別出這種黑帽方法,我猜想Google內部調查說明,這種方法到目前為止沒有被利用。不過,這是 Tom發布信息之前,現在呢?我估計有很多人已經在瘋狂實驗這個方法的有效性了。我這篇帖子發出來,國內肯定也會有SEO去嘗試。那么,大規模濫用這種注入方法的情況下,Google的預防機制還會有效嗎?

      另一方面,幾乎可以肯定, Tom的帖子發出來,會迫使Google必須要積極采取措施,補上這個漏洞,不能讓XSS攻擊注入鏈接真的成為有效的SEO作弊方法。想嘗試的,盡快吧,很快就會沒用的。

      5月8號更新:Google在7號的Google I/O開發大會上宣布,Google蜘蛛將使用最新版的Chrome引擎,目前版本是74,以后都會保持使用最新版本。看來Google早就做了準備,所以就這么有信心。

      責任編輯:如何利用XSS漏洞注入惡意鏈接?(揭示XSS注入的方法與技巧)

      相關文章

      樂天SEO培訓中心

      主站蜘蛛池模板: 青娱乐国产官网极品一区| 免费无码AV一区二区| 色多多免费视频观看区一区| 狠狠色综合一区二区| 日韩伦理一区二区| 精品人体无码一区二区三区| 夜夜高潮夜夜爽夜夜爱爱一区| 日韩免费视频一区二区| 韩国精品一区二区三区无码视频 | 中文无码一区二区不卡αv| 国产一区二区视频免费| 久久青青草原一区二区| 亚洲福利一区二区| 精品无码一区在线观看| 国产综合精品一区二区三区| 久久久99精品一区二区| 国产色欲AV一区二区三区| 亚洲sm另类一区二区三区| 亚洲一区二区三区四区视频| 无码国产精品一区二区免费3p| 国产精品xxxx国产喷水亚洲国产精品无码久久一区 | 免费无码毛片一区二区APP| 国产一区二区免费| 综合久久一区二区三区| 成人在线视频一区| 亚洲爆乳无码一区二区三区 | 日韩AV无码久久一区二区| 亚洲av区一区二区三| 搜日本一区二区三区免费高清视频 | 色一情一乱一区二区三区啪啪高| 日韩免费无码视频一区二区三区 | 日本一区二区视频| 国产福利一区二区三区在线观看 | 99久久无码一区人妻a黑| 日韩免费无码一区二区三区 | 亚洲一区二区三区免费在线观看| 国产在线一区二区三区| 无码少妇一区二区| 中文字幕无线码一区二区| 怡红院AV一区二区三区| 亚洲一区二区三区无码影院|