欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

利用Sitemap提交漏洞劫持其它網(wǎng)站排名

2021-08-21    分類: 網(wǎng)站排名

我個人雖然不建議做黑帽SEO,但了解一些黑帽技術(shù)是白帽SEO的必修課。SEO黑帽的常見技術(shù)和最新應(yīng)用至少可以讓我們:

在不能失誤的正規(guī)網(wǎng)站上避免黑帽的坑

多渠道、深入理解搜索引擎的工作原理

幫助了解搜索排名算法的極限在哪里

從聰明的黑帽SEO技巧中發(fā)展白帽技巧

對國內(nèi)黑帽SEO應(yīng)用廣泛的賭博、色情等網(wǎng)站和排名也做過一些研究,與相關(guān)公司也有些接觸,對這個行業(yè)的利潤之大、團隊規(guī)模之大、探索及應(yīng)用之深入等是很欽佩的。不過總體上說,國內(nèi)黑帽SEO的做法偏向傳統(tǒng),更多是對搜索算法的某些已知漏洞或參數(shù)的極端、大規(guī)模利用。國外一些黑帽對SEO的探索則更出人意料,腦洞更清奇。

前幾天看到一個可以用于黑帽SEO的例子,利用GoogleSearchConsole的XMLSitemap提交漏洞,劫持其它人網(wǎng)站原有排名??赐旰蟾杏X,還有這種操作一些人真的思路非?;钴S,貌似也有時間,在不停地探索著各種可能性。好在這個漏洞沒有真正用于黑帽SEO,而是在Google的漏洞舉報獎勵計劃中提交的,發(fā)現(xiàn)者Tomanthony因此獲得1337美元獎金。

Tomanthony不是一般的IT安全人員,顯然是干SEO的,而且是英國著名SEO公司Distilled產(chǎn)品研發(fā)部門的頭。Tomanthony在他的博客帖子里詳細介紹了這個漏洞的用法。

簡單說,Tomanthony通過自己的網(wǎng)站,用ping的機制向Google提交XML版Sitemap(里面包含索引指令,比如這個例子中利用的hreflang標(biāo)簽),由于Google及其它網(wǎng)站的漏洞,Google誤以為這個Sitemap是另一個網(wǎng)站的Sitemap,從而使Tomanthony的網(wǎng)站快速索引,并且劫持了那個網(wǎng)站的排名。

Google允許幾種方式提交sitemap.xml:

在robots.txt文件中指定sitemap.xml的位置

在GoogleSearchConsole后臺提交

把sitemap.xml的位置ping給Google

第3種ping的方式就是向Google的這個URL發(fā)get請求:

http://google.com/pingsitemap=http://www.example.com/sitemap.xml

其中,http://www.example.com/sitemap.xml就是要提交的sitemap.xml的文件。Tomanthony發(fā)現(xiàn),無論新舊網(wǎng)站,Google收到這個請求后10多秒鐘就會過來抓取sitemap.xml文件。

接下來還要利用某些網(wǎng)站的openredirect漏洞,也就是完全開放的可以指向其它網(wǎng)站的轉(zhuǎn)向。一些網(wǎng)站可以通過URL中的參數(shù)控制轉(zhuǎn)向,比如登錄后用戶被轉(zhuǎn)向到某個指定地址:

http://www.abc.com/logincontinue=/page.html

也就是abc這個網(wǎng)站用戶登錄后被轉(zhuǎn)向到page.html頁面,繼續(xù)正常訪問。通常,page.html這個頁面應(yīng)該是abc.com這個域名上的。但有些網(wǎng)站的程序不大安全,可以轉(zhuǎn)向到其它網(wǎng)站,如:

http://www.abc.com/logincontinue=xyz.com/page.html

用戶登錄完,被轉(zhuǎn)向到另一個網(wǎng)站xyz.com上去了。而且也不一定需要真的登錄,只要訪問這個URL,可以是login,也可以是logout,或者其它什么script.php,就被轉(zhuǎn)向了。

這就是開放的轉(zhuǎn)向。這種開放轉(zhuǎn)向還挺常見的,包括大網(wǎng)站。

Tomanthony注冊了一個新域名xyz.com,然后利用這兩個漏洞,通過ping向Google提交這樣的sitemap.xml:

http://google.com/pingsitemap=http://www.abc.com/logincontinue=xyz.com/sitemap.xml

xyz.com是他自己的新注冊的域名,abc.com是某支持開放轉(zhuǎn)向的、有很好搜索流量的、別人的網(wǎng)站。顯然,sitemap.xml文件是放在xyz.com上的,但Google把這個文件當(dāng)成是abc.com的sitemap文件(轉(zhuǎn)向前的域名)。這樣,黑帽SEO可以控制其它人的網(wǎng)站sitemap文件,并利用某些指令劫持權(quán)重、排名、流量。

Tomanthony做了很多測試,其中成功的是hreflang指令。他選了一個英國的零售商網(wǎng)站(作為上面例子中的abc.com域名),為了保護對方,并沒有說是哪個網(wǎng)站,在自己的xyz.com域名上采集了對方網(wǎng)站,包括結(jié)構(gòu)和內(nèi)容,只修改了地址、貨幣之類的信息。然后在xyz.com域名放上sitemap.xml文件,里面列出那個英國網(wǎng)站的URL,但每個URL加上了多語言網(wǎng)站需要用的hreflang指令,通知Google,這個英國網(wǎng)站頁面對應(yīng)的美國版本在xyz.com上。最后,如前面說的,用ping的機制提交xyz.com上的sitemap.xml文件,但Google卻誤以為是英國網(wǎng)站abc.com的合法sitemap.xml文件。

結(jié)果是,Google傳遞了英國網(wǎng)站的權(quán)重到xyz.com域名上。Tomanthony這里說的不是很明確,但我理解,是在美國Google.com上獲得了那個英國網(wǎng)站在Google.co.uk上應(yīng)有的權(quán)重和排名。

48小時內(nèi),新域名就開始被索引,并獲得一些長尾詞的排名:

在過幾天,重要的商業(yè)詞也獲得排名,和amazon、ToysRUs、沃爾瑪?shù)纫惠^高下:

Tomanthony特意說明,真是個只有6天的域名,沒有外鏈,內(nèi)容還是采集的。

Tomanthony接下來發(fā)現(xiàn),xyz.com的GoogleSearchConsole賬號里顯示,那個英國網(wǎng)站被顯示在xyz.com的外鏈中了(人家并沒鏈接過來,估計完全不知道有這個事),更嚴(yán)重的是,Tomanthony可以在xyz.com的GoogleSearchConsole賬號里提交那個英國網(wǎng)站的sitemap.xml文件了,不用ping了。Google貌似是把這兩個本來無關(guān)的網(wǎng)站當(dāng)成一個或者至少是相關(guān)的了。

Tomanthony也測試了其它指令,比如noindex(陷害競爭對手于無形?。?,rel-canonical,不過都沒管用。Tomanthony也想過測試其它東西,比如是否xyz.com網(wǎng)站的結(jié)構(gòu)和內(nèi)容要和abc.com一樣呢不一樣到什么程度還能起作用呢

另一個有意思的地方是,被劫持的網(wǎng)站有可能根本不知道發(fā)生了什么。有些陷害競爭對手的負(fù)面SEO技術(shù)是可以被發(fā)現(xiàn)的,比如給對手制造大量垃圾鏈接,這個在多個工具中是會被清楚顯示的。Tomanthony發(fā)現(xiàn)的這個漏洞,被劫持的網(wǎng)站沒辦法發(fā)現(xiàn)是怎么回事?;蚋静恢辣唤俪至?,比如這個案例中的英國網(wǎng)站,沒有在美國運營,所以可能根本不會去看Google美國的排名。

2017年9月23號,Tomanthony提交了這個bug,經(jīng)過一番來來去去的討論,2018年3月25號,Google確認(rèn)bug已經(jīng)修正,并同意Tomanthony發(fā)布博客帖子。

searchengineland的文章還有大段文字介紹Tomanthony的心路歷程,為什么不把這個漏洞留著自己用,而是提交給Google與潛在的流量和利益相比,1千多美金的獎金什么都不是。情懷啊。感興趣的可以深入讀一下。

最后,Google對這個漏洞的評論是,“這個漏洞一經(jīng)發(fā)現(xiàn),他們就組織各相關(guān)團隊解決了。這是個新發(fā)現(xiàn)的漏洞,相信還沒有被利用過。”

文章名稱:利用Sitemap提交漏洞劫持其它網(wǎng)站排名
轉(zhuǎn)載源于:http://aaarwkj.com/news41/123141.html

網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián),是專注品牌與效果的網(wǎng)站制作,網(wǎng)絡(luò)營銷seo公司;服務(wù)項目有網(wǎng)站排名

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設(shè)
人妻一区二区三区久久| 亚洲人的av在线播放| 国内精品免费视频不卡| 小草少妇视频免费看视频| 亚洲国产精品第一区第二区| 九九久久亚洲av成人乱片| 日本不卡一区二区在线观看| 午夜福利视频一区久久久| 日本新任女教师在线播放| 宫部凉花中文字幕在线| av永久免费观看网站| 欧美日韩黄片免费在线观看| 国产大学生情侣在线视频| 亚洲一区二区实拍偷拍视频| 午夜福利福利一区二区| 国产精品一级性生活片| 日韩精品91一区二区| 国产精品一区二区一牛影视| 密臀av一区二区三区| 日韩亚洲在线中文字幕| 色91精品在线观看剧情| 性生活的视频免费观看麻豆| 亚洲激情一区在线观看| 国产精品剧情在线播放| 日韩高清在线亚洲专区不卡 | 国产无遮挡的免费视频| 国产av一级二级三级最新精品| 九九精品在线观看视频| 欧美十八一区二区三区| 亚洲国产欧美日韩综合| av中文字幕亚洲一区二区| 国产999精品免费国产| 久草国产免费福利在线视频| 国产美女极度色诱视频| 精品裸足人妻少妇二区三区| 手机黄色av免费在线网址| 精品人妻va人妻中文字幕麻豆| 亚洲欧美一区二区三区日本| 91九色蝌蚪国产欧美亚洲| 久久综激情丁香开心婷婷| 日本黄色中文字幕在线观看|