blog

劫持谷歌搜索结果的乐趣,而不是利润:英国搜索引擎优化揭示谷歌搜索控制台中的XML站点地图利用

<p>2017年,Google向个人和研究人员支付了近300万美元,作为其漏洞奖励计划(VRP)的一部分,该计划鼓励安全研究社区查找和报告Google产品中的漏洞</p><p>本周,Tom Anthony负责产品研发部门</p><p>蒸馏,一个搜索引擎优化机构 - 被授予1,337美元的漏洞赏金,用于发现一个漏洞,使一个网站劫持搜索引擎结果页面(SERP)的可见性和另一个网站的流量 - 快速获得索引并轻松排名受害网站的竞争关键字详细在他的博客文章中,安东尼描述了谷歌的搜索控制台(GSC)通过ping URL提交的站点地图如何基本上允许他为他控制的网站提交XML站点地图,就好像它是一个站点地图,他没有做到这一点找到允许开放重定向的目标站点;在测试服务器上抓取其内容并创建该站点的副本(及其URL结构)然后,他向Google提交了一个XML站点地图(托管在测试服务器上),其中包含目标域的URL,其中hreflang指令指向这些相同的URL ,现在也出现在测试域中48小时内,测试域开始接收流量在一周内,测试站点在SERP第1页的竞争性术语排名另外,GSC显示这两个站点相关 - 列出目标站点链接到测试站点:Google Search Console链接两个不相关的站点来源:http:// wwwtomanthonycouk这个假定的关系也允许Anthony提交其他XML站点地图 - 此时在测试站点的GSC内,而不是通过ping URL - 目标网站:直接在GSC上传的受害者网站站点地图 - 来源:http:// wwwtomanthonycouk开放重定向本身不是一个新的或新颖的问题 - 谷歌一直警告网站管理员关于shor自2009年以来他们的网站对抗这种攻击媒介这里值得注意的是,利用开放重定向不仅可以提交流氓站点地图,而且可以有效地对一个全新的域名,全新网站进行排名,实际入站链接为零,并且没有促销然后在三周内获得超过一百万个搜索印象,10,000个独立访问者和40,000个页面浏览量(仅通过搜索流量)这个全新的网站和域名这里的“错误”是站点地图提交的问题(随后的转发GSC站点地图提交令人震惊)以及关于算法如何立即将所有权益从一个站点应用到完全独立且不相关的域的更大问题来源:http:// wwwtomanthonycouk我通过Google与Google联系关于此漏洞的一系列详细问题,包括搜索质量团队参与实施修复,以及他们是否能够检测到并对任何不良演员采取行动可能已经利用了这个漏洞谷歌发言人回答说:当我们收到这个问题的警报时,我们在各个团队之间密切合​​作以解决这个问题这不是以前已知的问题,我们不相信它已被使用回答有关变化的问题关于站点地图提交,GSC以及影响结果的权益转移,发言人说:我们继续建议网站所有者使用站点地图让我们了解他们网站中的新页面和更新页面此外,新的Search Console也使用站点地图作为在“索引覆盖率”报告中深入了解您网站内特定信息的一种方式如果您在网站之外托管站点地图,为了正确使用,请务必在同一个Search Console帐户中验证这两个站点我讨论过此漏洞利用和安东尼的详细研究当被问及他追求这项工作的动机时,他说,“我相信一个有效的搜索引擎优化是一个经验丰富的人我试图了解幕后的事情,我从来没有做过任何黑帽SEO,所以让我自己挑战在事物的这一方面找到一些东西;主要是为了学习经验,并且如果我在野外看到它就是一种防御方式“他补充道,”我喜欢把安全研究作为一种爱好,所以决定不要采用“传统”的黑帽子操纵算法的排名信号的路线,我看看我是否可以在其中找到一个彻头彻尾的错误“通常情况下,追求给定方法的驱动动机与经历(或有经历过的客户)SERP流量或排名突然下降相关,”安东尼指出,“在Distilled,就像许多SEO一样,我曾与网站合作过那些有不明原因的掉线通常客户声称“负面的搜索引擎优化”,但通常它更为平凡这个特定问题令人担忧的是,典型的负面搜索引擎优化攻击是可检测的如果我用低质量链接向你发送垃圾邮件,你可以找到他们,你可以证实他们存在这个问题,似乎攻击者可以利用你在谷歌的资产,你不会知道“在四个星期的晚上和周末花费深入研究,安东尼发现结合不同的研究流他开始被证明是有效的,每个人都分别导致死胡同“我最终得到了两个研究线索 - 一个围绕开放重定向,因为它们是我认为可能的网站工作方式的一个裂缝e用于搜索引擎优化 - 另一个用于XML站点地图并试图在解析它们时使Googlebot错误(我运行了大约20种变体,但没有一种工作!)我在这一点上非常深入,并且有一个启示当我意识到这两个研究流可能会合并时“一旦他意识到可以对网站造成的影响和伤害,安东尼就向谷歌的安全团队报告了这个漏洞(在他的帖子中查看完整的时间表)因为此方法以前不为人知但安东尼指出,谷歌显然可以利用,“这可能已经存在并被剥削,这是一个可怕的前景</p><p>然而,这个错误的性质意味着它基本上是不可检测的'受害者'可能不会直接影响他们的股权用于在另一个国家排名,然后受害者成为被攻击者排名下降的合法公司他们无法判断攻击者网站的排名如此之好“如上所述上面,谷歌发言人说他们不相信它已被使用不清楚他们的回答是他们是否有数据可以使他们能够检测到以这种方式使用的ping地点图如果给出进一步的评论或信息,我们将会更新这篇文章关于具体的检测问题,我要求安东尼推测扩展这个漏洞利用“我的实验最大的弱点是我在URL结构和内容方面模仿了原始网站的程度,我准备了一堆实验</p><p>旨在衡量攻击者网站的不同之处:我是否需要与父网站相同的URL结构</p><p>内容必须有多相似</p><p>我可以定位与受害者网站在同一国家/地区的其他语言吗</p><p>在我的情况下,我认为我可以用相同的方法重新运行但是稍微区分了攻击站点,并且可能[会]逃脱检测,“他说,他补充说,”如果我把它保留给自己,那么我想我可能已经离开了好几个月或几年如果你彻底骗了人们就会昙花一现,但是如果你用这种方法来推动联盟流量,甚至只是为了促进你自己的合法业务,那么你就没有什么理由被抓住“如下图所示,驱动到测试站点的短期流量可能比他被授予的相对较小(相比之下)的奖励更有价值,这让人怀疑安全团队是否真正理解了利用Searchmetrics的流量价值来源:http:// wwwtomanthonycouk Anthony的动机(以及他为何直接报告漏洞)的根源在于研究和帮助搜索社区,但是“做这种研究是一种学习经验,而不是滥用你发现的东西在行业中,我们有时会抱怨谷歌,但是对于消费者来说,他们提供了很好的服务,我认为好的SEO实际上有助于此 - 这基本上是相同想法的延伸他们运行的漏洞奖励计划是将研究工作集中在他们而不是其他地方的一个很好的激励;很高兴有可能获得研究所花费的时间和精力的奖励“本文中表达的意见是客座作者的意见,

查看所有