Loading
XSS-атаки

Google так и не закрыл уязвимость, позволяющую совершать XSS-атаки на Googlebot

5 месяцев назад отрудник агентства Distilled Том Энтони (Tom Anthony) обнаружил уязвимость, которая позволяет манипулировать Googlebot для выполнения JavaScript и индексации внесённых с его помощью изменений, включая ссылки. Исследователь уведомил о своей находке Google, однако в компании так и не закрыли эту брешь.

В итоге Том Энтони решил опубликовать информацию об уязвимости
в публичном доступе, чтобы проинформировать о потенциальной угрозе владельцев
сайтов. При этом он отметил, что в Google проверили его статью
перед публикацией.


Краткое описание
проблемы

Поскольку Googlebot работает на основе Chrome 41, то в нём
нет функции XSS Auditor, которая используется в более поздних версиях браузера
для защиты пользователей от XSS-атак.
Между тем многие сайты подвержены атакам, позволяющим манипулировать URL для внедрения JS-кода.

Так как Googlebot выполняет JavaScript, это позволяет хакеру создавать XSS URL, которые способны манипулировать контентом сайтов-жертв. Эти манипуляции могут включать добавление ссылок, по которым Googlebot будет переходить, чтобы просканировать тот сайт, на который они ведут. Это, предположительно, делает возможными манипуляции с PageRank, хотя эта гипотеза не проверялась из-за страха повредить ранжированию сайтов.

Том Энтони уведомил Google об этой уязвимости ещё в ноябре 2018 года, однако в компании не посчитали нужным её закрыть.

Реакция SEO-сообщества

Западные эксперты, включая основателя Moz Рэнда Фишкина и SEO-консультанта Сайруса Шепарда, положительно оценили публикацию этой информации:



Комментарий Google

Представитель Google в комментарии Search Engine Land заявил примерно следующее:

«Мы благодарны исследователю, который довел эту проблему до
нашего сведения. Мы провели расследование, но не нашли никаких доказательств
того, что [этой уязвимостью] злоупотребляют. Тем не менее, мы сохраняем
бдительность и готовы к защите наших систем и внесению изменений, если это
понадобится».

Напомним, ранее Том Энтони обнаружил
уязвимость, которая позволяла перехватывать поисковый трафик сайтов. За эта
исследователь получил от Google
вознаграждение в размере $1337.

Источник

Отправить ответ

Пожалуйста, авторизуйтесь чтобы добавить комментарий.
Войти с помощью: 
  Подписаться  
Уведомление о
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
Войти с помощью: 

11 − девять =

Генерация пароля