Шифрування файлу Sitemap Google XML auth - Чорне SEO Bug Bounty

  1. Механізм XML Sitemap і Ping
  2. Інформація з Google Search Console
  3. відкриті переадресації
  4. Ping Sitemaps через Open Redirects 😱
  5. Експеримент: використання директиви hreflang для крадіжки ваги сайту
  6. висновок

Укорочена версія:

Google надає відкритий URL-адресу, де ви можете Pingонуть XML-карту сайту, яку вони аналізуватимуть - цей файл може містити директиви індексування. Я виявив, що для будь-якого сайту з відкритою переадресацією (наприклад, LinkedIn, Facebook і 1000 сайтів електронної комерції) можна виконати ping файл в Sitemap, який ви розміщуєте таким чином, щоб Google довіряв карті дзеркала як належить до сайту жертви.

Я вирішив протестувати це (не чекаючи, що це спрацює так добре), використовуючи директиви hreflang в файлі Sitemap, щоб майже відразу опинитися в кращих результатахв США, зробивши файл sitemap схожим на приналежний великому сайту електронної торгівлі Великобританії.

Google тепер виправив цю проблему і нагородив ваблячи за баг в розмірі 1337 доларів.

В рамках моїх постійних досліджень я недавно виявив проблему з Google, яка дозволяє зловмисникові відправити XML-карту сайту Google для сайту, для якого вони не пройшли аутентифікацію. Оскільки ці файли можуть містити директиви індексування, такі як hreflang, це дозволяє зловмисникові використовувати ці директиви, щоб допомогти їх власним сайтам ранжуватися в результатах пошуку Google.

Я витратив 12 доларів на перевірку свого експерименту і займав перші місця на ВЧ запитах в пошуку, з недавно зареєстрованим доменом, у якого не було зовнішніх посилань.

Механізм XML Sitemap і Ping

Google дозволяє відправити XML-карту сайту, далі це допомагає їм виявити URL-адреси для обходу, але також можуть бути використані директиви hreflang, які вони використовують, щоб зрозуміти, які інші міжнародні версії однієї і тієї ж сторінки можуть існувати (наприклад, «Привіт, Google, це американська сторінка, але у мене є сторінка на німецькій мові цей URL ... «). Невідомо точно, як Google використовує ці директиви (як і все, що пов'язано з пошуковими алгоритмами Google), але схоже, що hreflang дозволяє одному URL «запозичувати» вагу і довіру посилань на один URL-адресу та використовувати його для ранжирування іншого URL-адреси (тобто більшість людей посилаються на американську версію .com, і тому німецька версія може отримувати частину ваги, щоб краще ранжуватися в Google.de).

Ви можете відправляти XML-файли Sitemap для свого домену або через Google Search Console, всередині вашого файлу robots.txt, або через спеціальний URL-адресу в Search console. власні документи Google трохи суперечать самі собі, у верхній частині сторінки вони посилаються на відправку файлів Sitemap через механізм ping, але в нижній частині сторінки вони показують наступне попередження:

власні документи   Google трохи суперечать самі собі, у верхній частині сторінки вони посилаються на відправку файлів Sitemap через механізм ping, але в нижній частині сторінки вони показують наступне попередження:

Проте, з мого досвіду, ви можете додати нові XML-файли Sitemap через механізм ping, при цьому Googlebot зазвичай зчитує файл протягом 10-15 секунд після пінгу. Важливо відзначити, що Google також згадує пару раз на сторінці, що якщо ви відправите файл Sitemap через механізм ping, він не з'явиться у вашій Search Console:

Важливо відзначити, що Google також згадує пару раз на сторінці, що якщо ви відправите файл Sitemap через механізм ping, він не з'явиться у вашій Search Console:

Як пов'язаного тесту я перевірив, чи можу я додати інші відомі директиви пошуку (noindex, rel-canonical) через XML-файли Sitemap (а також спробувати купу експлойтів XML), але Google, схоже, їх не використав.

Інформація з Google Search Console

Якщо ви спробуєте відправити XML-карту сайту в GSC, яка включає URL-адреси іншого домену, на який ви не авторизовані, GSC відхилить їх:

Ми повернемося до цього через мить.

відкриті переадресації

Багато сайтів використовують параметр URL для управління перенаправленням:

У цьому прикладі я б перейшов по редіректу на сторінку page.html. Деякі сайти з поганою структурою допускають так звані «відкриті переадресації», де ці параметри дозволяють перенаправляти користувача на інший домен:

Часто їм не потрібно ніякого взаємодії (наприклад - авторизація), тому вони просто перенаправляють користувача відразу на сторінку:

Відкриті переадресації дуже поширені і часто вважаються не дуже небезпечними. З цих причин Google не включає їх в свою програму базових помилок. Однак, по можливості, компанії намагаються закрити такі дірки, але іноді можна і обійти їх захист:

Tesco - британський рітейлер, який заробляє понад 50 мільярдів фунтів стерлінгів, більше 1 мільярда фунтів стерлінгів - через свій веб-сайт. Я повідомив про це прикладі Tesco (поряд з низкою інших для інших компаній, які я виявив в ході цього дослідження), і з тих пір вони виправили цей баг.

Ping Sitemaps через Open Redirects 😱

На даний момент ви, можливо, здогадалися, куди я піду з цієї вразливістю. У підсумку виходить, що при відправці XML-карти сайту, якщо URL-адресу, який ви відправляєте, є переадресацією, Google буде слідувати цій переадресації, навіть якщо це зовнішній домен. Важливо відзначити, що, мабуть, він все ще пов'язує цю карту XML з доменом, який переадресовував, і обробляє файл Sitemap, який він знаходить після перенаправлення, дозволеним для цього домену.

наприклад:

наприклад:

В цьому випадку evil.xmlкарта сайту розміщується blue_com, але Google пов'язує її як належить і авторитетну для green_com. Використовуючи це, ви можете відправляти XML-файли Sitemap для сайтів, яким не слід керувати, і відправляти директиви Google з пошуку.

Експеримент: використання директиви hreflang для крадіжки ваги сайту

На даний момент у мене були різні рухомі частини, але я не підтвердив, що Google дійсно буде довіряти перехресної доменної мапі XML, тому я провів експеримент, щоб перевірити його. Я зробив багато невеликих тестів, щоб зрозуміти різні частини цього (а також різні тупики), але не очікував, що цей експеримент буде працювати так само добре, як і на папері.

Я створив фальшивий домен для британської роздрібної компанії, яка не працює в США, і розгорнув AWS сервер, який імітував сайт (в основному, шляхом збору унікального контенту і його редагування - зміни валюти / адреси і т.д.). Я анонімізувати компанію (і промисловість) тут, щоб захистити їх, тому давайте просто назвемо їх victim_com

Тепер я створив фальшиву карту сайту, на якій був розміщений evil_com, але містив тільки URL-адреси victim_com. Ці URL-адреси містять записи hreflang для кожного URL-адреси, які вказують на еквівалентний URL-адресу evil_com, що вказує на те, що це була американська версія victim_com. Тепер я представив цей файл Sitemap через відкритий URL-адресу переадресації victim_com через механізм пинга Google.

Протягом 48 годин сайт почав отримувати невеликі обсяги трафіку для НЧ запитів (SEMRush screenshot):

Протягом 48 годин сайт почав отримувати невеликі обсяги трафіку для НЧ запитів (SEMRush screenshot):

Минуло ще пару днів, і я почав з'являтися на ВЧ запитах на першій сторінці, на ряду з Amazon і Walmart.

Минуло ще пару днів, і я почав з'являтися на ВЧ запитах на першій сторінці, на ряду з Amazon і Walmart

Крім того, в Google Search Console evil_com з'явилася інформація, на те що victim_comссилается evil_com, хоча посилань не було.

Крім того, в Google Search Console evil_com з'явилася інформація, на те що victim_comссилается evil_com, хоча посилань не було

На цьому етапі я виявив, що я також можу відправити XML-файли Sitemap victim_comвнутрі GSC для evil_com:

На цьому етапі я виявив, що я також можу відправити XML-файли Sitemap victim_comвнутрі GSC для evil_com:

Здавалося, що Google пов'язав сайти, а в evil_com в Search console і тепер є хоч якась можливість вплинути на настройку victim_com. Тепер я зміг відслідковувати індексацію моїх доданих файлів Sitemap (ви можете бачити, що у мене було проіндексовано три тисячі сторінок).

Searchmetrics показувала зростаючу вартість трафіку:

Google Search Console показувала понад мільйон пошукових запитів і більше 10 000 кліків в пошуку Google. І до цього моменту я нічого не робив, окрім як відправив XML-карту сайту!

Ви повинні повірити, що я не дозволяв людям проводити оплати на дзеркалі сайту, але якби я захотів я міг би або обдурити людей на великі гроші, або налаштувати рекламу, або іншим чином почав монетизувати цей трафік. На мій погляд, це серйозний ризик для відвідувачів Google, а також ризик для компаній, які покладаються на Google пошук. Трафік продовжував зростати, але я закрив свій експеримент і перервав свої подальші експерименти, побоюючись завдати шкоди компанії.

висновок

Цей метод повністю не видно для victim_com- XML-файли Sitemap не відображаються в Search console.

Що стосується чорного SEO, цей спосіб був підтверджений, і крім цього, це перший приклад, який я знаю про пряме використання алгоритму, замість того, щоб маніпулювати чинниками ранжирування.

Google подякував мені чеком в $ 1337 за перебування такого бага, і команда Google швидко впоралася з усуненням дірки в алгоритмі.

Переклад матеріалу Google XML sitemap auth bypass - Black Hat SEO Bug Bounty

Вам також може сподобатися

Похожие

ვიდეო კურსები SEO- ზე. უფასო SEO ტრენინგი, საძიებო სისტემა SEO ოპტიმიზაცია, ნახვა ხელშეწყობა და ...
ვიდეო კურსები SEO- ზე. უფასო SEO ტრენინგი, საძიებო სისტემა SEO ოპტიმიზაცია, ნახვა ხელშეწყობა და ხელშეწყობა.
תוכן ניתן לשתף הוא המלך החדש SEO תוכן ניתן לשתף הוא המלך החדש SEO חיפוש שיווק ושיווק חברתי הם מת...
�וכן ניתן לשתף הוא המלך החדש SEO תוכן ניתן לשתף הוא המלך החדש SEO חיפוש שיווק ושיווק חברתי הם מתכנסים האם שמת לב איך פייסבוק מנסה להפוך יותר מנוע חיפוש כמו ו Google מנסה להיות חברתי יותר?
关于SEO的视频课程。 免费的seo培训,搜索引擎seo优化,网站推广和推广。 要免费获得下载链接。
关于SEO的视频课程。 免费的seo培训,搜索引擎seo优化,网站推广和推广。 要免费获得下载链接。
הדרכות וידאו ב SEO אופטימיזציה וידאו קורסים על SEO. אימון
הדרכות וידאו ב SEO אופטימיזציה וידאו קורסים על SEO. אימון
Το περιεχόμενο που είναι κοινόχρηστο είναι ο νέος βασιλιάς SEO Το μάρκετινγκ αναζήτησης και το κοινωνικό μ...
Το περιεχόμενο που είναι κοινόχρηστο είναι ο νέος βασιλιάς SEO Το μάρκετινγκ αναζήτησης και το κοινωνικό μάρκετινγκ συγκλίνουν Έχετε παρατηρήσει πώς το Facebook προσπαθεί να γίνει περισσότερο μηχανή αναζήτησης και όπως Google προσπαθεί να γίνει πιο κοινωνική; Έχω παρακολουθήσει στενά το πόλεμοι μηχανών
याहू सेवाओं में एसईओ सेवा आपकी साइट एसईओ के लिए सबसे अच्छा अभ्यास वह बिंदु है जिस पर आप अपनी साइट की योजना...
याहू सेवाओं में एसईओ सेवा आपकी साइट एसईओ के लिए सबसे अच्छा अभ्यास वह बिंदु है जिस पर आप अपनी साइट की योजना और सुधार करेंगे, अपनी साइट को सभी एसईओ कोणों जैसे कि पदार्थ, चित्र और कोड को एसईओ स्ट्रीमलाइन से ताज़ा करें। आपकी साइट का एसईओ शुरू करने का सबसे अच्छा समय वह बिंदु है जिस पर हाल ही में आपकी साइट को नए पदार्थों और चित्रों के साथ प्रकाशित किया गया है, पाकिस्तान में इस प्रशिक्षण एसईओ सेवा कंपनी (पहला विचार वेब) का उपयोग करके सुधार स्थिति के संकेत मिल सकते हैं। हम पाकिस्तान में सबसे
可共享的内容是新的SEO王 搜索营销和社交营销正在融合 您是否注意到Facebook正试图变得更像搜索引擎 谷歌 试图变得更加社交? 我一直在密切关注 搜索引擎大战 多年来。 曾几何时,搜索大战由Google,MSN和Yahoo!组成。 那些日子已经一去不...
可共享的内容是新的SEO王 搜索营销和社交营销正在融合 您是否注意到Facebook正试图变得更像搜索引擎 谷歌 试图变得更加社交? 我一直在密切关注 搜索引擎大战 多年来。 曾几何时,搜索大战由Google,MSN和Yahoo!组成。 那些日子已经一去不回。 今天,它归结为谷歌,Facebook和微软Bing。 当Facebook推出他们的
এসইও ভিডিও কোর্স। বিনামূল্যে এসই প্রশিক্ষণ, সার্চ ইঞ্জিন SEO অপ্টিমাইজেশান, ওয়েবসাইট প্রচার এবং প্রচার। বিনামূল্যে...
এসইও ভিডিও কোর্স। বিনামূল্যে এসই প্রশিক্ষণ, সার্চ ইঞ্জিন SEO অপ্টিমাইজেশান, ওয়েবসাইট প্রচার এবং প্রচার। বিনামূল্যে
... Google的影响时,这种不满变成了他们的困扰。 无论如何,我只是为了正念目的而组织这个。 第一个想法网站开发,域名注册和托管公司提供最好的和 便宜的价格SEO包 。 自定义最佳搜索引擎优化包 搜索引擎优化包适用于客户,以便他们可以...
... Google的影响时,这种不满变成了他们的困扰。 无论如何,我只是为了正念目的而组织这个。 第一个想法网站开发,域名注册和托管公司提供最好的和 便宜的价格SEO包 。 自定义最佳搜索引擎优化包 搜索引擎优化包适用于客户,以便他们可以自己选择。 他们通过将SEO服务分成几个类,为客户提供了一种基本的方法,可以将捆绑产品相互对比。 可悲的是,这不是转向搜索引擎优化的理想方法; 要使SEO策略有效,它需要一定程度的定制,预先包装的产品不准备给予。 在拉合尔寻找发动机优化和SEO服务 基本上,搜索引擎优化(SEO)是简化网站内容,专业设置和覆盖范围的方法,其目标是您的网页出现在互联网搜索者结果的最高点,以便对特定的标语术语进行安排。
��유 할 수있는 콘텐츠는 새로운 SEO 왕인가? ���색 마케팅 및 소셜 마케팅이 수렴하고 있습니까? 당신은 페이스 북이 어떻게 더 많은 검색 엔진과 같이되기 위해 노력하고 있는...
��유 할 수있는 콘텐츠는 새로운 SEO 왕인가? ���색 마케팅 및 소셜 마케팅이 수렴하고 있습니까? ��신은 페이스 북이 어떻게 더 많은 검색 엔진과 같이되기 위해 노력하고 있는지, 그리고 Google 더 많은 사회가 되려고 노력하고 있습니까? 나는 계속해서 검색 엔진 전쟁 몇 년 동안. 옛날 옛적에 검색 전쟁은 구글, MSN, 야후! 그 시절은 오래 전에 사라졌습니다. 오늘은 Google, Facebook 및 Microsoft Bing으로 이어집니다. 페이스 북이 시작했을 때
SEO სერვისები ლაჰორ პაკისტანში საუკეთესო პრაქტიკის თქვენი საიტი SEO არის წერტილი, რომელიც თქვენ გეგმავთ და...
SEO სერვისები ლაჰორ პაკისტანში საუკეთესო პრაქტიკის თქვენი საიტი SEO არის წერტილი, რომელიც თქვენ გეგმავთ და გააუმჯობესოს თქვენი საიტი, თქვენი საიტი განახლება ყველა SEO კუთხე მაგალითად ნივთიერება, სურათები და კოდი უნდა იყოს SEO გამარტივებაში. საუკეთესო დრო, რომ დაიწყოს თქვენი საიტი SEO არის წერტილი, რომელიც თქვენს საიტზე ცოტა ხნის წინ გამოქვეყნდა ახალი ნივთიერება და სურათები, გამოყენებით ამ სასწავლო SEO მომსახურება კომპანია (პირველი იდეა ვებ) პაკისტანში შეიძლება ნიშნები გაუმჯობესების პოზიციონირება.
?וכן ניתן לשתף הוא המלך החדש SEO תוכן ניתן לשתף הוא המלך החדש SEO חיפוש שיווק ושיווק חברתי הם מתכנסים האם שמת לב איך פייסבוק מנסה להפוך יותר מנוע חיפוש כמו ו Google מנסה להיות חברתי יותר?
?�색 마케팅 및 소셜 마케팅이 수렴하고 있습니까?
?�유 할 수있는 콘텐츠는 새로운 SEO 왕인가?
?�색 마케팅 및 소셜 마케팅이 수렴하고 있습니까?
?신은 페이스 북이 어떻게 더 많은 검색 엔진과 같이되기 위해 노력하고 있는지, 그리고 Google 더 많은 사회가 되려고 노력하고 있습니까?