Google так и не закрыл уязвимость, позволяющую совершать XSS-атаки на Googlebot

Stats: 1760 1
Author: admin
Category: SEO, Просування сайту. Копірайт, Статті
Comments: Комментариев нет
Tags: XSS-атаки

Заказать рекламу: info@it-media.kiev.ua Звоните: +380934169249

5 месяцев назад отрудник агентства Distilled Том Энтони (Tom Anthony) обнаружил уязвимость, которая позволяет манипулировать Googlebot для выполнения JavaScript и индексации внесённых с его помощью изменений, включая ссылки. Исследователь уведомил о своей находке Google, однако в компании так и не закрыли эту брешь.

В итоге Том Энтони решил опубликовать информацию об уязвимости
в публичном доступе, чтобы проинформировать о потенциальной угрозе владельцев
сайтов. При этом он отметил, что в Google проверили его статью
перед публикацией.

Nice write up. With regards the disclosure... I believe releasing it is the best course of action. Google confirmed it was not going to be fixed and the only way for people to protect themselves is to know about it. Google reviewed my post before it was released. 🙂

— Tom Anthony (@TomAnthonySEO) May 2, 2019

Краткое описание
проблемы

Поскольку Googlebot работает на основе Chrome 41, то в нём
нет функции XSS Auditor, которая используется в более поздних версиях браузера
для защиты пользователей от XSS-атак.
Между тем многие сайты подвержены атакам, позволяющим манипулировать URL для внедрения JS-кода.

Так как Googlebot выполняет JavaScript, это позволяет хакеру создавать XSS URL, которые способны манипулировать контентом сайтов-жертв. Эти манипуляции могут включать добавление ссылок, по которым Googlebot будет переходить, чтобы просканировать тот сайт, на который они ведут. Это, предположительно, делает возможными манипуляции с PageRank, хотя эта гипотеза не проверялась из-за страха повредить ранжированию сайтов.

Том Энтони уведомил Google об этой уязвимости ещё в ноябре 2018 года, однако в компании не посчитали нужным её закрыть.

Реакция SEO-сообщества

Западные эксперты, включая основателя Moz Рэнда Фишкина и SEO-консультанта Сайруса Шепарда, положительно оценили публикацию этой информации:

Yikes. Better make sure your sites are protected, especially if you're a likely link or content injection target. Thanks to @TomAnthonySEO for the transparency: https://t.co/9UDbiQ620C pic.twitter.com/sTzFKyBD2C

— Rand Fishkin (@randfish) May 1, 2019

Amazing Google vulnerability exposed by @TomAnthonySEO, which can be exploited for SEO

"XSS attacks on Googlebot allow search index manipulation"

Most interesting is they don't seem interested in fixing it. Does this mean Googlebot is ditching Chrome 41?https://t.co/a48mTXhGN1 pic.twitter.com/JC8nnmbwOk

— Cyrus (@CyrusShepard) May 2, 2019

Комментарий Google

Представитель Google в комментарии Search Engine Land заявил примерно следующее:

«Мы благодарны исследователю, который довел эту проблему до
нашего сведения. Мы провели расследование, но не нашли никаких доказательств
того, что [этой уязвимостью] злоупотребляют. Тем не менее, мы сохраняем
бдительность и готовы к защите наших систем и внесению изменений, если это
понадобится».

Напомним, ранее Том Энтони обнаружил
уязвимость, которая позволяла перехватывать поисковый трафик сайтов. За эта
исследователь получил от Google
вознаграждение в размере $1337.

Источник