Google так и не закрыл уязвимость, позволяющую совершать XSS-атаки на Googlebot

И манипулировать поисковым индексом

5 месяцев назад отрудник агентства Distilled Том Энтони (Tom Anthony) обнаружил уязвимость, которая позволяет манипулировать Googlebot для выполнения JavaScript и индексации внесённых с его помощью изменений, включая ссылки. Исследователь уведомил о своей находке Google, однако в компании так и не закрыли эту брешь.

В итоге Том Энтони решил опубликовать информацию об уязвимости в публичном доступе, чтобы проинформировать о потенциальной угрозе владельцев сайтов. При этом он отметил, что в Google проверили его статью перед публикацией.

Краткое описание проблемы

Поскольку Googlebot работает на основе Chrome 41, то в нём нет функции XSS Auditor, которая используется в более поздних версиях браузера для защиты пользователей от XSS-атак. Между тем многие сайты подвержены атакам, позволяющим манипулировать URL для внедрения JS-кода.

Так как Googlebot выполняет JavaScript, это позволяет хакеру создавать XSS URL, которые способны манипулировать контентом сайтов-жертв. Эти манипуляции могут включать добавление ссылок, по которым Googlebot будет переходить, чтобы просканировать тот сайт, на который они ведут. Это, предположительно, делает возможными манипуляции с PageRank, хотя эта гипотеза не проверялась из-за страха повредить ранжированию сайтов.

Том Энтони уведомил Google об этой уязвимости ещё в ноябре 2018 года, однако в компании не посчитали нужным её закрыть.

Реакция SEO-сообщества

Западные эксперты, включая основателя Moz Рэнда Фишкина и SEO-консультанта Сайруса Шепарда, положительно оценили публикацию этой информации:

Комментарий Google

Представитель Google в комментарии Search Engine Land заявил примерно следующее:

«Мы благодарны исследователю, который довел эту проблему до нашего сведения. Мы провели расследование, но не нашли никаких доказательств того, что [этой уязвимостью] злоупотребляют. Тем не менее, мы сохраняем бдительность и готовы к защите наших систем и внесению изменений, если это понадобится».

Напомним, ранее Том Энтони обнаружил уязвимость, которая позволяла перехватывать поисковый трафик сайтов. За эта исследователь получил от Google вознаграждение в размере $1337.

Источник: Search Engine Roundtable
subscribe

Подпишитесь на рассылку SearchEngines

— Статьи мировых экспертов

— Аналитические обзоры

— Важные новости

— Горячие темы с нашего форума

preview Google: как страницы низкого качества влияют на ранжирование сайта в целом

Google: как страницы низкого качества влияют на ранжирование сайта в целом

Во время последней видеовстречи для вебмастеров сотрудник Google Джон Мюллер ответил на вопрос о том, как страницы низкого качества могут влиять на ранжирование сайта в целом
preview Google о mobile-first индексации: «Мы продвигаемся»

Google о mobile-first индексации: «Мы продвигаемся»

Ранее в этом месяце сотрудник Google Джон Мюллер рассказал, на какой стадии находится переход на mobile-first индексацию
preview В России введена идентификация пользователей мессенджеров по номеру телефона

В России введена идентификация пользователей мессенджеров по номеру телефона

С 5 мая в России вступили в силу новые правила идентификации пользователей мессенджеров...
preview В Search Console появился специальный режим в честь Дня Звёздных войн

В Search Console появился специальный режим в честь Дня Звёздных войн

4 мая поклонники культовой фантастической киносаги «Звёздные войны» отмечают неофициальный праздник – День Звёздных войн
preview Google займётся разрушением SEO-мифов в новой серии видео

Google займётся разрушением SEO-мифов в новой серии видео

Команда Google Webmaster Trends Analyst запустила новую серию видео под названием SEO Mythbusting...
preview В Search Console появились три новых отчёта по структурированным данным

В Search Console появились три новых отчёта по структурированным данным

Google добавил в Search Console три новых отчёта, призванных предоставить пользователям больше возможностей для мониторинга структурированных данных на сайте