Google так и не закрыл уязвимость, позволяющую совершать XSS-атаки на Googlebot

И манипулировать поисковым индексом

923

5 месяцев назад отрудник агентства Distilled Том Энтони (Tom Anthony) обнаружил уязвимость, которая позволяет манипулировать Googlebot для выполнения JavaScript и индексации внесённых с его помощью изменений, включая ссылки. Исследователь уведомил о своей находке Google, однако в компании так и не закрыли эту брешь.

В итоге Том Энтони решил опубликовать информацию об уязвимости в публичном доступе, чтобы проинформировать о потенциальной угрозе владельцев сайтов. При этом он отметил, что в Google проверили его статью перед публикацией.

Краткое описание проблемы

Поскольку Googlebot работает на основе Chrome 41, то в нём нет функции XSS Auditor, которая используется в более поздних версиях браузера для защиты пользователей от XSS-атак. Между тем многие сайты подвержены атакам, позволяющим манипулировать URL для внедрения JS-кода.

Так как Googlebot выполняет JavaScript, это позволяет хакеру создавать XSS URL, которые способны манипулировать контентом сайтов-жертв. Эти манипуляции могут включать добавление ссылок, по которым Googlebot будет переходить, чтобы просканировать тот сайт, на который они ведут. Это, предположительно, делает возможными манипуляции с PageRank, хотя эта гипотеза не проверялась из-за страха повредить ранжированию сайтов.

Том Энтони уведомил Google об этой уязвимости ещё в ноябре 2018 года, однако в компании не посчитали нужным её закрыть.

Реакция SEO-сообщества

Западные эксперты, включая основателя Moz Рэнда Фишкина и SEO-консультанта Сайруса Шепарда, положительно оценили публикацию этой информации:

Комментарий Google

Представитель Google в комментарии Search Engine Land заявил примерно следующее:

«Мы благодарны исследователю, который довел эту проблему до нашего сведения. Мы провели расследование, но не нашли никаких доказательств того, что [этой уязвимостью] злоупотребляют. Тем не менее, мы сохраняем бдительность и готовы к защите наших систем и внесению изменений, если это понадобится».

Напомним, ранее Том Энтони обнаружил уязвимость, которая позволяла перехватывать поисковый трафик сайтов. За эта исследователь получил от Google вознаграждение в размере $1337.

ИСТОЧНИКSearch Engine Roundtable
Редактор-переводчик. Специализируется на западном интернет-маркетинге и SEO. Освещает события в этой области с 2014 года.

Прокомментировать

avatar
  Подписаться  
Уведомление о