首页 > 优化 > 关键词  > 黑帽SEO最新资讯  > 正文

利用Sitemap提交漏洞劫持其它网站排名

2018-04-12 10:08 · 稿源: SEO每天一贴

我个人虽然不建议做黑帽SEO,但了解一些黑帽技术是白帽SEO的必修课。SEO黑帽的常见技术和最新应用至少可以让我们:

  • 在不能失误的正规网站上避免黑帽的坑

  • 多渠道、深入理解搜索引擎的工作原理

  • 帮助了解搜索排名算法的极限在哪里

  • 从聪明的黑帽SEO技巧中发展白帽技巧

对国内黑帽SEO应用广泛的赌博、色情等网站和排名也做过一些研究,与相关公司也有些接触,对这个行业的利润之大、团队规模之大、探索及应用之深入等是很钦佩的。不过总体上说,国内黑帽SEO的做法偏向传统,更多是对搜索算法的某些已知漏洞或参数的极端、大规模利用。国外一些黑帽对SEO的探索则更出人意料,脑洞更清奇。

前几天看到一个可以用于黑帽SEO的例子,利用Google Search Console的XML Sitemap提交漏洞,劫持其它人网站原有排名。看完后感觉,还有这种操作?一些人真的思路非常活跃,貌似也有时间,在不停地探索着各种可能性。好在这个漏洞没有真正用于黑帽SEO,而是在Google的漏洞举报奖励计划中提交的,发现者Tom Anthony因此获得 1337 美元奖金。

Tom Anthony不是一般的IT安全人员,显然是干SEO的,而且是英国著名SEO公司Distilled产品研发部门的头。Tom Anthony在他的博客帖子里详细介绍了这个漏洞的用法。

简单说,Tom Anthony通过自己的网站,用ping的机制向Google提交XML版Sitemap(里面包含索引指令,比如这个例子中利用的hreflang标签),由于Google及其它网站的漏洞,Google误以为这个Sitemap是另一个网站的Sitemap,从而使Tom Anthony的网站快速索引,并且劫持了那个网站的排名。

Google允许几种方式提交sitemap.xml:

  • 在robots.txt文件中指定sitemap.xml的位置

  • 在 Google Search Console后台提交

  • 把sitemap.xml的位置ping给Google

第 3 种ping的方式就是向Google的这个URL发get请求:

https://google.com/ping?sitemap=https://www.example.com/sitemap.xml

其中,https://www.example.com/sitemap.xml就是要提交的sitemap.xml的文件。Tom Anthony发现,无论新旧网站,Google收到这个请求后 10 多秒钟就会过来抓取sitemap.xml文件。

接下来还要利用某些网站的open redirect漏洞,也就是完全开放的可以指向其它网站的转向。一些网站可以通过URL中的参数控制转向,比如登录后用户被转向到某个指定地址:

https://www.abc.com/login?continue=/page.html

也就是abc这个网站用户登录后被转向到page.html页面,继续正常访问。通常,page.html这个页面应该是abc.com这个域名上的。但有些网站的程序不大安全,可以转向到其它网站,如:

https://www.abc.com/login?continue=xyz.com/page.html

用户登录完,被转向到另一个网站xyz.com上去了。而且也不一定需要真的登录,只要访问这个URL,可以是login?,也可以是logout?,或者其它什么script.php?,就被转向了。

这就是开放的转向。这种开放转向还挺常见的,包括大网站。

Tom Anthony注册了一个新域名xyz.com,然后利用这两个漏洞,通过ping向Google提交这样的sitemap.xml:

https://google.com/ping?sitemap=https://www.abc.com/login?continue=xyz.com/sitemap.xml

xyz.com是他自己的新注册的域名,abc.com是某支持开放转向的、有很好搜索流量的、别人的网站。显然,sitemap.xml文件是放在 xyz.com上的,但Google把这个文件当成是abc.com的sitemap文件(转向前的域名)。这样,黑帽SEO可以控制其它人的网站sitemap文件,并利用某些指令劫持权重、排名、流量。

Tom Anthony做了很多测试,其中成功的是hreflang指令。他选了一个英国的零售商网站(作为上面例子中的abc.com域名),为了保护对方,并没有说是哪个网站,在自己的xyz.com域名上采集了对方网站,包括结构和内容,只修改了地址、货币之类的信息。然后在xyz.com域名放上sitemap.xml文件,里面列出那个英国网站的URL,但每个URL加上了多语言网站需要用的hreflang指令,通知Google,这个英国网站页面对应的美国版本在xyz.com上。最后,如前面说的,用ping的机制提交xyz.com上的sitemap.xml文件,但Google却误以为是英国网站abc.com的合法sitemap.xml文件。

结果是,Google传递了英国网站的权重到xyz.com域名上。Tom Anthony这里说的不是很明确,但我理解,是在美国Google.com上获得了那个英国网站在Google.co.uk上应有的权重和排名。

48 小时内,新域名就开始被索引,并获得一些长尾词的排名:

在过几天,重要的商业词也获得排名,和Amazon、Toys R Us、沃尔玛等一较高下:

Tom Anthony特意说明,真是个只有 6 天的域名,没有外链,内容还是采集的。

Tom Anthony接下来发现,xyz.com的Google Search Console账号里显示,那个英国网站被显示在xyz.com的外链中了(人家并没链接过来,估计完全不知道有这个事),更严重的是,Tom Anthony可以在xyz.com的Google Search Console账号里提交那个英国网站的sitemap.xml文件了,不用ping了。Google貌似是把这两个本来无关的网站当成一个或者至少是相关的了。

Tom Anthony也测试了其它指令,比如noindex(陷害竞争对手于无形啊),rel-canonical,不过都没管用。Tom Anthony也想过测试其它东西,比如是否xyz.com网站的结构和内容要和abc.com一样呢?不一样到什么程度还能起作用呢?

另一个有意思的地方是,被劫持的网站有可能根本不知道发生了什么。有些陷害竞争对手的负面SEO技术是可以被发现的,比如给对手制造大量垃圾链接,这个在多个工具中是会被清楚显示的。Tom Anthony发现的这个漏洞,被劫持的网站没办法发现是怎么回事。或根本不知道被劫持了,比如这个案例中的英国网站,没有在美国运营,所以可能根本不会去看Google美国的排名。

2017 年 9 月 23 号,Tom Anthony提交了这个bug,经过一番来来去去的讨论, 2018 年 3 月 25 号,Google确认bug已经修正,并同意Tom Anthony发布博客帖子。

searchengineland的文章还有大段文字介绍Tom Anthony的心路历程,为什么不把这个漏洞留着自己用,而是提交给Google?与潜在的流量和利益相比, 1 千多美金的奖金什么都不是。情怀啊。感兴趣的可以深入读一下。

最后,Google对这个漏洞的评论是,“这个漏洞一经发现,他们就组织各相关团队解决了。这是个新发现的漏洞,相信还没有被利用过。”

作者: Zac@SEO每天一贴

版权属于: 中新虚拟主机

  • 相关推荐
  • 大家在看
  • 网站快照每天更新,对SEO很重要吗?

    ​SEO是一个信息差异化很大的工作,每天在接触企业主各种问题的时候,普遍都会发现一些基础性的问题,虽然国内SEO行业已经发展很多年。

  • 谷歌搜索将于2月起根据「页面体验」对桌面网站进行排名

    页面速度和其他体验指标量化了终端用户与网站的互动方式,现在是谷歌确定如何在搜索中进行结果排名的首选方法之一。页面体验包含了速度(加载时间)、响应性(互动性)和视觉稳定性——例如,由于网站在加载过程中意外移动而点错了按钮。这三个重要参考提供了一个「用户在网页上的体验质量的整体情况」。

  • ESET:黑客借中东新闻网站对目标访客发起攻击

    经历了持续一年多的追踪,网络安全研究人员终于摸清了“中东之眼”新闻网站入侵事件的来龙去脉。由 ESET 周二发布的报告可知,一群黑客入侵了总部位于伦敦的这家热门新闻网站。这家网站着眼于中东地区的新闻报道,而攻击者的最终目标却是网站访客。伊朗驻阿布扎比大使馆网站的脚本注入据悉,这轮黑客活动一直从 2020 年 3 月活跃到 2021 年 8 月,期间波及大约 20 个网站,同时导致不少访客中招。具体说来是,攻击者利用了所谓的“

  • 23年历史的老牌IT网站Hexus突然关闭 两编辑重开新

    作为一个IT网站编辑,笔者自己也经常浏览国外同行的IT网站的,然而过去几年中有很多优秀的网站关闭。这两天英国老牌网站Hexus.net突然宣布关闭,引发网友关注。Hexus网站David Ros在1998年创立的,已有23年资历,在业内也是非常资深的,他除了这个网站之外,还有个网站bit-tech,这次也一同关闭。他在Hexus网站上发表了长文回顾了这么多年来的历程,该网站一共发表了148579篇文章,将近15万篇,也是非常惊人的积累了。David Ross并

  • 苹果 Apple ID 网站管理界面迎来全新设计:更简洁流畅

    据MacRumors报道,苹果公司日前对 Apple ID 网站(https://appleid.apple.com/)进行大更新,换上了设计更加现代和简洁的页面,分类也更加清晰。

  • Google桌面搜索政策调整 明年2月参照页面体验对网站进行排名

    自 8 月以来,Google 一直在使用“页面体验”(Page Experience)这个指标,来确定网站在移动搜索中的显示方式。现在,这家科技巨头又宣布 —— 从 2022 年 2 月开始,桌面版 Google 搜索也将参照“页面体验”指标,对相关网站进行排名调整。(图自:Google Search Console)9to5Google 指出:页面速度和其它指标,将被优先用于量化访客与网站的交互体验。前者涵盖了加载时间、响应性、以及视觉稳定性 —— 比如由于站点在加载过程

  • 《蜘蛛侠:英雄无归》预售导致AMC和Fandago网站发生崩溃

    漫威和MCU的粉丝们可能还记得,《复仇者联盟:终局之战》在全美电影票务网站开启电影票预售后迎来了一个巨大的数字。现在看来,《蜘蛛侠:英雄无归》也遇到了同样的情况,粉丝们在网上称AMC和Fandango都因为需求而崩溃。NFT的发布可能是部分原因。周日早些时候,AMC宣布首批86000名购买或预订12月16日《蜘蛛侠》的AMC存根A-List、首映或Investor Connect会员将收到一份“环保型”蜘蛛侠NFT。很难说这是否对AMC网站的瘫痪构成任何影

  • 7家视频网站提交会员服务整改报告

    此前,因视频平台会员仍需观看广告等问题,浙江省消保委约谈了爱奇艺、优酷、腾讯视频、搜狐视频、PPTV、芒果TV、乐视等平台。浙江省消保委表示,上述视频网站存在对会员广告特权事前事后告知不充分、取消自动续费操作繁琐、会员观看部分影视剧要另外花钱,观影时间有限制、不能按影片价格充值,充值金额固定等问题。

  • 英国监管机构要求 Facebook 出售 GIF 制作分享网站 Giphy

    据彭博报道,根据一份声明,英国竞争与市场管理局(CMA)今天表示,Meta (已更名为「Meta」)收购 Giphy 的交易有碍市场竞争。CMA 要求Facebook出售Giphy,因为该机构认定这笔交易可能会损害社交媒体用户和英国广告商。

  • 召唤所有"Fusioneer":美国聚变能源主题新网站上线

    美国聚变外展团队,这个专注于减少外展工作障碍的聚变社区基层组织已经推出了一个新的集中式网站,以吸引不断扩大的劳动力、媒体、教育工作者和公众参与到以聚变能源为动力的未来之旅。美国核聚变社区刚刚完成了一个为期两年的战略规划过程,专注于一个大胆的新方向:在2035年之前建造一个原型核聚变电站。根据研究人员创建的共识报告(社区规划进程和为未来提供动力报告)的建议,来自美国核聚变能源界的一个多元化的利益相关者委

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天