И манипулировать поисковым индексом
5 месяцев назад отрудник агентства Distilled Том Энтони (Tom Anthony) обнаружил уязвимость, которая позволяет манипулировать Googlebot для выполнения JavaScript и индексации внесённых с его помощью изменений, включая ссылки. Исследователь уведомил о своей находке Google, однако в компании так и не закрыли эту брешь.
В итоге Том Энтони решил опубликовать информацию об уязвимости в публичном доступе, чтобы проинформировать о потенциальной угрозе владельцев сайтов. При этом он отметил, что в Google проверили его статью перед публикацией.
Краткое описание проблемы
Поскольку Googlebot работает на основе Chrome 41, то в нём нет функции XSS Auditor, которая используется в более поздних версиях браузера для защиты пользователей от XSS-атак. Между тем многие сайты подвержены атакам, позволяющим манипулировать URL для внедрения JS-кода.
Так как Googlebot выполняет JavaScript, это позволяет хакеру создавать XSS URL, которые способны манипулировать контентом сайтов-жертв. Эти манипуляции могут включать добавление ссылок, по которым Googlebot будет переходить, чтобы просканировать тот сайт, на который они ведут. Это, предположительно, делает возможными манипуляции с PageRank, хотя эта гипотеза не проверялась из-за страха повредить ранжированию сайтов.
Том Энтони уведомил Google об этой уязвимости ещё в ноябре 2018 года, однако в компании не посчитали нужным её закрыть.
Реакция SEO-сообщества
Западные эксперты, включая основателя Moz Рэнда Фишкина и SEO-консультанта Сайруса Шепарда, положительно оценили публикацию этой информации:
Комментарий Google
Представитель Google в комментарии Search Engine Land заявил примерно следующее:
«Мы благодарны исследователю, который довел эту проблему до нашего сведения. Мы провели расследование, но не нашли никаких доказательств того, что [этой уязвимостью] злоупотребляют. Тем не менее, мы сохраняем бдительность и готовы к защите наших систем и внесению изменений, если это понадобится».
Напомним, ранее Том Энтони обнаружил уязвимость, которая позволяла перехватывать поисковый трафик сайтов. За эта исследователь получил от Google вознаграждение в размере $1337.