topseored

Как XSS-атаки на гуглбота позволяют манипулировать поисковым индексом

Tom Antony, который уже публиковал информацию об уязвимости sitemap.xml в Google, на этот раз нашел способ встраивать яваскрипт на чужих сайтах и, таким образом, манипулировать поисковым индексом.

Краткая версия

Googlebot рендерит сайты 41й версией хрома (2015), которая не имеет встроенного XSS-аудитора, защищающего пользователей браузера от XSS-атак. В то же время, многие сайты подвержены XSS-атакам, когда с помощью манипулирования адресом страницы можно в код встроить JavaScript.

Так как Google исполняет JavaScript, это позволяет злоумышленникам подстраивать урлы и манипулировать контентом уязвимых сайтов. Например, встраивать ссылки, которые Google будет индексировать и передавать вес.

Том написал об этой уязвимости в Google еще в ноябре 2018, но те так ничего и не предприняли (упоминая сложности внутренней коммуникации), поэтому Том выложил все в паблик, чтобы владельцы сайтов могли защититься от такого рода аттак. Пока у Google нет планов устранять проблему.

Читать полностью про встраивание контента на чужие сайты с помощью xss-атак и как с этим работает Google…

Источник:
Как XSS-атаки на гуглбота позволяют манипулировать поисковым индексом

Поделиться:

Читайте также: