英国seo揭示Google Search Console中的XML站点地图攻击漏洞

  在2017年,Google向个人和研究人员支付了近300万美元,作为其漏洞奖励计划(VRP)的一部分,该计划鼓励安全研究团体查找和报告Google产品中的漏洞。
  本周,汤姆安东尼 - 负责搜索引擎优化的Distilled公司产品研发部门的负责人 - 获得了1337美元的bug奖金,用于发现一个漏洞,该漏洞使一个网站能够劫持搜索引擎结果页面(SERP)的可见性和另一个网站的流量 - 快速获取索引并轻松排名受害网站的竞争关键字。
  Anthony 在他的博客文章中详细介绍了如何通过ping URL提交Google的Search Console(GSC)站点地图,这基本上允许他为他控制的站点提交XML站点地图,就好像它是一个他没有的站点地图一样。他通过首先找到允许公开重定向的目标网站来完成此操作; 抓取其内容并在测试服务器上创建该网站的副本(及其URL结构)。然后,他向Google(托管在测试服务器上)提交了一个XML站点地图,其中包含指向目标域的URL,其中hreflang指令指向那些现在也出现在测试域中的那些相同的URL。

  劫持SERP
  在48小时内,测试域开始接收流量。在一周内,测试站点在SERP第1页上的竞争条件排名。此外,GSC将这两个网站显示为相关 - 将目标网站列为链接到测试网站:
  Google Search Console会链接这两个不相关的网站。
  这种假定的关系还允许安东尼在测试网站的GSC中提交其他XML站点地图,而不是通过ping URL - 对于目标站点:
  受害者网站站点地图直接上传到GSC

  了解范围
  开放的重定向本身并不是一个新的或新的问题 - 谷歌自2009年以来一直在警告网站管理员支持他们的网站抵御这种攻击媒介。值得关注的是这里使用的是一个开放的重定向的工作不只是提交一个流氓网站地图,但有效地排列一个全新的领域,全新的网站,具有零个实际入站链接,并没有推广。然后在三周内为该全新网站和域名注册超过一百万个搜索展示次数,10,000个唯一身份访问者和40,000个网页浏览量(仅限搜索流量)。
  这里的“bug”既是站点地图提交的问题(后续的通过GSC站点地图提交报告令人震惊),也是一个更大的问题,即算法如何立即将所有权益从一个站点应用到完全独立和不相关的域。
  我通过一系列有关此漏洞的详细问题与Google联系,其中包括搜索质量团队参与追踪和实施修复,以及他们是否能够检测到可能已经利用此漏洞的不良行为者并采取措施漏洞。谷歌发言人回答说:
  当我们注意到这个问题时,我们紧密团队合作解决这个问题。这不是一个以前已知的问题,我们不相信它已被使用。
  针对关于网站地图提交,GSC和影响股权结果转移的问题,发言人说:
  我们继续建议网站所有者使用站点地图让我们知道他们网站中的新网页和更新网页。此外,新版Search Console还会使用站点地图作为在索引覆盖率报告中深入了解您网站中特定信息的一种方式。如果您要在网站外部托管自己的站点地图,为了正确使用,请务必在同一个Search Console帐户中验证这两个站点。
  我与安东尼详细讨论了这个漏洞和研究。

  研究过程
  当被问及他追求这项工作的动机时,他说:“我相信一个有效的搜索引擎优化是一个试验和试图理解幕后事物的人。我从来没有做过任何黑帽SEO,因此为自己设定了在事物的某个方面寻找事物的挑战; 主要是为了学习经验,并且如果我在野外看到它,这是一种运行防御的方法。“
  他补充说:“我喜欢将安全研究作为一方的爱好,因此决定不采用操纵算法排名信号的'传统'黑帽子路线,而是看看是否可以找到一个直接的错误它。”
  通常,追求特定方法的驱动动机与经历过(或曾经有经历过的客户)的SERP流量或排名突然下降有关。安东尼注意到,“在蒸馏,像很多SEO,我曾与网站有不明原因的滴。客户通常会声称'负面的搜索引擎优化',但通常情况下这是更为平凡的事情。担心这个特定问题的是,典型的负面SEO攻击是可以检测到的。如果我用低质量的链接向您发送垃圾邮件,您可以找到它们,您可以确认它们存在。有了这个问题,看起来攻击者可能会利用您在Google上的股权,而您不知道。“
  在为期四周的晚上和周末的研究中,安东尼发现,结合不同的研究流,他开始证明是有效的,每个研究流都分别导致死路一条。“我最终完成了两个研究主题 - 一个围绕着开放的重定向,因为它们是我认为可以用于搜索引擎优化的网站工作方式的一个裂缝 - 另一个是使用XML站点地图并在解析时尝试使Googlebot出错他们(我跑了大约20个变化,但没有工作!)。在这一点上我非常深入,并且当我意识到这两个研究流可能被合并时有了启发。“

  报告和解决
  一旦他意识到可能对网站造成的影响和伤害,安东尼就向谷歌安全团队报告了这个错误(请参阅他的帖子完整时间表)。由于这种方法以前不为谷歌所知,但显然可以利用,安东尼指出,“这是一个可怕的前景,这可能已经存在并被剥削。但是,错误的本质意味着它基本上不可检测。如果他们的股权被用于在另一个国家排名,那么“受害者”可能不会直接受到影响,然后受害者成为被攻击者压倒排名的合法公司。他们无法分辨攻击者网站的排名如何。“
  如上所述,谷歌发言人表示他们不相信它已被使用。不清楚他们的反应是他们是否有可用的数据,使他们能够检测到以这种方式使用的ping的站点地图。如果有进一步的评论或信息,我们会更新这篇文章。
  在具体检测问题上,我让安东尼推测这个漏洞的扩展。“我的实验最大的弱点是我在网址结构和内容方面与原始网站的模仿程度如何。我准备了大量的实验,旨在衡量您可以使攻击者网站有多不同:我是否需要与父网站相同的网址结构?内容有多类似?我能否以受害者网站为目标在同一国家定位其他语言?就我而言,我认为我可以用相同的方法重新运行,但稍微区分了攻击点,并且很可能逃过检测。“他说。
  他补充说,“如果我把它保留给自己,那么我想我可能已经走了几个月或几年了。如果你直接欺骗了人们,这将是短暂的,但如果你使用这种方法来推动联盟交通,或者甚至仅仅是为了促进自己的合法业务,那么你就没有被抓到的理由。“
  如下图所示,驱动到测试地点的短期流量比他所获得的相对较小(相比之下)的奖励更有价值,这让人怀疑安全团队是否真正理解了漏洞的影响。
  Searchmetrics的流量值。
  然而,安东尼的动机(以及他为什么立即报告此漏洞)植根于研究并帮助搜索社区。
  “做这种研究是一种学习经验,而不是滥用你发现的东西。在这个行业中,我们有时会抱怨Google,但对消费者来说,他们提供了很好的服务,而且我认为良好的SEO实际上可以为此提供帮助 - 这基本上是对同一想法的延伸。他们运行的漏洞奖励计划是将研究工作重点放在他们身上而不是其他地方的好动机; 我们很高兴能够为研究的时间和努力获得奖励。“

内容版权声明:除非注明,否则皆为SEO博客原创文章。

姜成SEO技术交流群

转载注明出处:https://www.seoblogs.cn/jinyan/2018595.html

跟大家分享一下你的看法吧!
  • 全部评论(0
    还没有评论,快来抢沙发吧!