<acronym id="dxfwc"></acronym>
  • <span id="dxfwc"><sup id="dxfwc"><nav id="dxfwc"></nav></sup></span>
    <span id="dxfwc"><sup id="dxfwc"></sup></span>

    <optgroup id="dxfwc"><em id="dxfwc"><pre id="dxfwc"></pre></em></optgroup>
    <track id="dxfwc"><i id="dxfwc"></i></track>
    <optgroup id="dxfwc"><i id="dxfwc"></i></optgroup>

    網站制作16年,SEO 7年,客戶900+

    利用谷歌Sitemap提交漏洞劫持其它網站排名

    時間:2018-06-01 21:22:41 來源:通盛網絡  作者:臺州seo顧問  點擊:

    導讀:
    利用谷歌Sitemap提交漏洞劫持其它網站排名。利用Google Search Console的XML Sitemap提交漏洞,劫持其它人網站原有排名??赐旰蟾杏X,還有這種操作?

      前些天發現了一個英國SEO發現谷歌漏洞的文章,非常有意思,我個人雖然不建議做黑帽SEO,但了解一些黑帽技術是白帽SEO的必修課。SEO黑帽的常見技術和最新應用至少可以讓我們:在不能失誤的正規網站上避免黑帽的坑,多渠道、深入理解搜索引擎的工作原理,幫助了解搜索排名算法的極限在哪里,從聰明的黑帽SEO技巧中發展白帽技巧。
     

      對國內黑帽SEO應用廣泛的賭博、色情等網站和排名也做過一些研究,與相關公司也有些接觸,對這個行業的利潤之大、團隊規模之大、探索及應用之深入等是很欽佩的。不過總體上說,國內黑帽SEO的做法偏向傳統,更多是對搜索算法的某些已知漏洞或參數的極端、大規模利用。國外一些黑帽對SEO的探索則更出人意料,腦洞更清奇?!?strong>臺州SEO排名
     

      前幾天看到一個可以用于黑帽SEO的例子,利用Google Search Console的XML Sitemap提交漏洞,劫持其它人網站原有排名??赐旰蟾杏X,還有這種操作?一些人真的思路非?;钴S,貌似也有時間,在不停地探索著各種可能性。好在這個漏洞沒有真正用于黑帽SEO,而是在Google的漏洞舉報獎勵計劃中提交的,發現者Tom Anthony因此獲得1337美元獎金。
     

      Tom Anthony不是一般的IT安全人員,顯然是干SEO的,而且是英國著名SEO公司Distilled產品研發部門的頭。Tom Anthony在他的博客帖子里詳細介紹了這個漏洞的用法。
     

      簡單說,Tom Anthony通過自己的網站,用ping的機制向Google提交XML版Sitemap(里面包含索引指令,比如這個例子中利用的hreflang標簽),由于Google及其它網站的漏洞,Google誤以為這個Sitemap是另一個網站的Sitemap,從而使Tom Anthony的網站快速索引,并且劫持了那個網站的排名。
     

      Google允許幾種方式提交sitemap.xml:
     

      在robots.txt文件中指定sitemap.xml的位置
     

      在 Google Search Console后臺提交
     

      把sitemap.xml的位置ping給Google
     

      第3種ping的方式就是向Google的這個URL發get請求:
     

      http://google.com/ping?sitemap=http://www.example.com/sitemap.xml
     

      其中,http://www.example.com/sitemap.xml就是要提交的sitemap.xml的文件。Tom Anthony發現,無論新舊網站,Google收到這個請求后10多秒鐘就會過來抓取sitemap.xml文件。
     

      接下來還要利用某些網站的open redirect漏洞,也就是完全開放的可以指向其它網站的轉向。一些網站可以通過URL中的參數控制轉向,比如登錄后用戶被轉向到某個指定地址:
     

      http://www.abc.com/login?continue=/page.html
     

      也就是abc這個網站用戶登錄后被轉向到page.html頁面,繼續正常訪問。通常,page.html這個頁面應該是abc.com這個域名上的。但有些網站的程序不大安全,可以轉向到其它網站,如:
     

      http://www.abc.com/login?continue=xyz.com/page.html
     

      用戶登錄完,被轉向到另一個網站xyz.com上去了。而且也不一定需要真的登錄,只要訪問這個URL,可以是login?,也可以是logout?,或者其它什么script.php?,就被轉向了。
     

      這就是開放的轉向。這種開放轉向還挺常見的,包括大網站。
     

      Tom Anthony注冊了一個新域名xyz.com,然后利用這兩個漏洞,通過ping向Google提交這樣的sitemap.xml:
     

      http://google.com/ping?sitemap=http://www.abc.com/login?continue=xyz.com/sitemap.xml
     

      xyz.com是他自己的新注冊的域名,abc.com是某支持開放轉向的、有很好搜索流量的、別人的網站。顯然,sitemap.xml文件是放在 xyz.com上的,但Google把這個文件當成是abc.com的sitemap文件(轉向前的域名)。這樣,黑帽SEO可以控制其它人的網站sitemap文件,并利用某些指令劫持權重、排名、流量。
     

      Tom Anthony做了很多測試,其中成功的是hreflang指令。他選了一個英國的零售商網站(作為上面例子中的abc.com域名),為了保護對方,并沒有說是哪個網站,在自己的xyz.com域名上采集了對方網站,包括結構和內容,只修改了地址、貨幣之類的信息。然后在xyz.com域名放上sitemap.xml文件,里面列出那個英國網站的URL,但每個URL加上了多語言網站需要用的hreflang指令,通知Google,這個英國網站頁面對應的美國版本在xyz.com上。最后,如前面說的,用ping的機制提交xyz.com上的sitemap.xml文件,但Google卻誤以為是英國網站abc.com的合法sitemap.xml文件。
     

      結果是,Google傳遞了英國網站的權重到xyz.com域名上。Tom Anthony這里說的不是很明確,但我理解,是在美國Google.com上獲得了那個英國網站在Google.co.uk上應有的權重和排名。
     

      48小時內,新域名就開始被索引,并獲得一些長尾詞的排名:

      

    黑帽SEO:利用sitemap.xml漏洞劫持排名
    黑帽SEO:利用sitemap.xml漏洞劫持排名

     

      在過幾天,重要的商業詞也獲得排名,和Amazon、Toys R Us、沃爾瑪等一較高下:

      

    黑帽SEO:搜索排名和流量劫持
    黑帽SEO:搜索排名和流量劫持

     

      Tom Anthony特意說明,真是個只有6天的域名,沒有外鏈,內容還是采集的。
     

      Tom Anthony接下來發現,xyz.com的Google Search Console賬號里顯示,那個英國網站被顯示在xyz.com的外鏈中了(人家并沒鏈接過來,估計完全不知道有這個事),更嚴重的是,Tom Anthony可以在xyz.com的Google Search Console賬號里提交那個英國網站的sitemap.xml文件了,不用ping了。Google貌似是把這兩個本來無關的網站當成一個或者至少是相關的了。
     

      Tom Anthony也測試了其它指令,比如noindex(陷害競爭對手于無形啊),rel-canonical,不過都沒管用。Tom Anthony也想過測試其它東西,比如是否xyz.com網站的結構和內容要和abc.com一樣呢?不一樣到什么程度還能起作用呢?
     

      另一個有意思的地方是,被劫持的網站有可能根本不知道發生了什么。有些陷害競爭對手的負面SEO技術是可以被發現的,比如給對手制造大量垃圾鏈接,這個在多個工具中是會被清楚顯示的。Tom Anthony發現的這個漏洞,被劫持的網站沒辦法發現是怎么回事?;蚋静恢辣唤俪至?,比如這個案例中的英國網站,沒有在美國運營,所以可能根本不會去看Google美國的排名。
     

      2017年9月23號,Tom Anthony提交了這個bug,經過一番來來去去的討論,2018年3月25號,Google確認bug已經修正,并同意Tom Anthony發布博客帖子。
     

      searchengineland的文章還有大段文字介紹Tom Anthony的心路歷程,為什么不把這個漏洞留著自己用,而是提交給Google?與潛在的流量和利益相比,1千多美金的獎金什么都不是。情懷啊。感興趣的可以深入讀一下。
     

      最后,Google對這個漏洞的評論是,“這個漏洞一經發現,他們就組織各相關團隊解決了。這是個新發現的漏洞,相信還沒有被利用過。”谷歌也是自信的,相信發現者也不在乎這一千多美金,也許這就是所謂的情況吧,否則的話谷歌的損失也許會非常大?!?a href="http://www.historietasminimas.com">www.historietasminimas.com】

  • 提示:如果您覺得本文不錯,請點擊分享給您的好友!謝謝
  • 本文鏈接地址:http://www.historietasminimas.com/news-xinwen/199.html
  • 來自公司網站建設及百度優化客戶的真實評論

    通盛網絡來自三門縣的客戶反饋

    我的網站關鍵詞優化在半個月之內就上到了首頁了??磥斫窈笥行枨筮€會來通盛網絡的。真心感謝找對了做關鍵詞優化的公司--通盛網絡。

    通盛網絡來自浙江天臺的客戶反饋

    今天做了3個詞,價格還是很便宜的,通盛網絡還是比較靠譜的,關鍵是在優化過程中比較耐心,有些詞做SEO時間會長久一些,我們會很著急,但是他們會很耐心和我解釋原因,絕對的支持。

    通盛網絡來自溫州市永嘉縣的客戶反饋

    服務態度很好,溝通也很及時很配合, 網站做出來也完全是我們想要的樣子,真心好評,值得推薦,期待下次網站改版繼續合作。

    通盛網絡來自龍泉市的客戶反饋

    老客戶,好評好評!快速,高效,一如既往的好?。?!

    通盛網絡來自麗水市縉云縣的客戶反饋

    上次在其他家做了2個詞,一點效果都沒有,這次效果可是真真的,我的詞是家居類的。好幾個關鍵詞都在首頁,而且讓我明白了做SEO絕對不能心急

    服務支持

    我們珍惜您每一次在線詢盤,有問必答,用專業的態度,貼心的服務。

    讓您真正感受到我們的與眾不同!

    最好看的最新的中文字幕资源