понедельник, 13 августа 2007 г.

XSS в помощь SEOшнику

В свои студенческие времена, у меня был знакомый кореш, который замутил свой интернет-магазин. Короче, крутил он, вертел пальцами, что движок к сайту он писал собственноручно, и никакой какер к нему не подсунется. Так вот помниться, поспорили мы, чисто символически по-студенчески, - на пиво, что и на старуху найдется проруха. Тогда-то я и познакомился с так называемым - XSS.

Для тех, кто не в курсе, какой смысл скрывается за аббревиатурой XSS, вкратце поясню. XSS (Сross Site Sсriрting, в простонародии - межсайтовый скриптинг) - это разновидность уязвимостей web-ресурсов, которые некорректно обрабатывают специальным образом подготовленные запросы. Под некорректной обработкой понимается отсутствие или недостаточная фильтрация небезопасных конструкций в параметрах запроса с непосредственным выводом этих конструкций на страницу.

Возвращаясь к сайту кореша, как вы уже, наверное догадались, нашел я таки там XSS-дырку в поисковых запросах его e-магазина.

Написал соответствующий линк, который на странице подгружал левый скрипт со стороннего сайта. Даже скриншот сделал для внуков. И послал корешу ядовитый урл вместе со скриншотом по почте.

Кореш потом рассказывал, что чуть со стула не грохнулся когда перешёл по ссылке и увидел на своем сайте такую картину …

Выиграл тогда я свое пиво.

Только баловство все это. Лучше бы я тогда на примере кореша в e-коммерцию ушел. Быстрее бы в SEO пришел.

Прелюдия это была.

Вчера, совершая вечерний променад, по пути домой осенила меня мысля. А почему бы таким же вышеописанным образом не попытаться продвигать свои линки через XSS уязвимости пеаристых сайтов? Проще говоря, скрестить XSS с SEO.

Согласен, метод не совсем из белых, но не проверить его хотя бы в экспериментальных целях было бы непростительным расточительством.

Значит сущность метода такова:

  • находим пачку пропеаренных сайтов с вышеуказанными недостатками;
  • подготавливаем для них «нужные» ссылки на «нужные» сайты;
  • скармливаем эти ссылки поисковикам;
  • ждем прокачки «нужных» сайтов;
  • радуемся : )
Однако, перед тем как радоваться, возникает ряд вопросов:

Воодушевленный собственным открытием, вернувшись домой, я незамедлительно стал искать ответы на свои вопросы.

Набрав в гугле ключевые слова данного поста и пробежав по ссылкам СЕРПа, я понял, что хреновый из меня Архимед получается. Понятное дело, все уже придумано до нас и за нас. И надеяться на уникальность данной идеи было бы сверхглупо. Хуже того, с первого взгляда по названиям ссылок (Яндекс больше не любит XSS, XSS накрылось, неуспев толком воплотиться), можно без труда догадаться, что лавочка уже прикрыта, по крайней мере, у Яндекса. В разочарованных чувствах я продолжил прощупывать информацию по теме.

В основном везде в постах говорилось, что в метод уже не работает, однако комменты к статьям расходились во мнениях. Одни кричали, что «XSS-линки уже не работают!», другие в ответ – «Ещё как работают, только вы не умеете их готовить!», третьи орали и на первых и на вторых, чтобы те, не палили темы простым смертным. Не понимаю я только, где тут палево?

Дурдом, короче. Вообщем, для меня тема XSS в SEO до сих пор не раскрыта.

Посему, решил провести свой тестовый эксперимент. Нарыл пяток линков на сайты с «некислыми» ПиаРами на мордах:

Будем надеяться, что сильно по жопе за эти действа не получу : )

На всякий случай отбрехаюсь, что я не я, и корова не моя.

Типа, дисклэймер

Вся представленная здесь информация представлена в образовательных целях и носит исключительно исследовательский характер. Автор ответственности за использование данной информации в незаконных целях естественно не несет. Он лишь пытается указать на ошибки в работе исследуемых систем.

17 Comments:

Анонимный said...

набири в яндексе forbes и посмотри первую 20ку сайтов в выдаче

Vyacheslav said...

сто пудов на выбранных сайтах не будет xss дырок - это вам не самодельный инет-магаз начала века

Анонимный said...

Не работает уже xss. Даже яндекс прикрыл.

bum said...

2 анонимный:
набири в яндексе forbes и посмотри первую 20ку сайтов в выдаче

Может я чего-то не догоняю, но как не всматривался и в 20ку и в 30ку. Ну ничего я там не увидел.

2 vyacheslav:
сто пудов на выбранных сайтах не будет xss дырок - это вам не самодельный инет-магаз начала века

вы какие "выбранные сайты" имеете ввиду?
Те которые в посте?
:)
По ссылкам прогуляйтесь и обратите свое внимание на красную ссылочку с уникальным якорем 82b7051ed0196bf778b7290689920f19

2 анонимный:
Не работает уже xss. Даже яндекс прикрыл.

Вот через 1-2 недели и проверим прикрыл или нет.

Анонимный said...

Может я чего-то не догоняю, но как не всматривался и в 20ку и в 30ку. Ну ничего я там не увидел.
------------
4 место - www.ikik.ru
9 место - www.imab.ru
10 - www.upnews.ru
+ 3 сайта со 2ой страницы
посмотри у них backlinks
(http://www.yandex.ru/yandsearch?Link=www.ikik.ru&numdoc=50&rd=0 - практически по всем запросам, по которым сайт продвигался этим способом - он в 1ой 20ке яндекса)

прямо сейчас яндекс удаляет эти обратные ссылки потихоньку (>>>>no title), утром было 290

bum said...

2 анонимный:
Ага! Точно. Теперь допер.
Спасибо за разъяснения.

То бишь Яндекс нынче зачистку делает таким бэклинкам.
А как насчёт Гугла? Не в курсе? Я где-то прочитал что ОН, типо давно, эту лазейку прикрыл.

Анонимный said...

Ага! Точно. Теперь допер.
Спасибо за разъяснения.

То бишь Яндекс нынче зачистку делает таким бэклинкам.
А как насчёт Гугла? Не в курсе? Я где-то прочитал что ОН, типо давно, эту лазейку прикрыл.
----------
ikik.ru висит по своим запросам в топе уже достаточно давно

тот же http://www.agrotara.ru/search/?str=%22%3E%3C%61%20%68%72%65%66%3D%68%74%74%70%3A%2F%2F%77%77%77%2E%69%6B%69%6B%2E%72%75%2F%3E%EB%FE%E4%E8%3C%2F%61%3E проиндексирован яндексом 22 февраля

мне кажется проблема ikik.ru в том, что там нет настоящего сайта

если сделать полноценный сайт и продвигать точные запросы которые есть в тексте страницы, иметь много естественных ссылок, чтобы не было "найдено по ссылке", то можно достаточно долго быть в топе яндекса. он удаляет 100 ссылок - ты ставишь 200, и тд

тот же forbes - не самый легкий запрос, но сайты легко вышли в топ ни имея ни forbes в тексте, ни каких либо других ссылок кроме "поисковых"

так что с яндексом по моему тема еще работает достаточно успешно

с гуглом мне кажется все гораздо сложнее. если ты так легко смог поставить ссылку с adobe, то я практически уверен, что гугл такие ссылки оперделяет и не учитывает. ведь после взлом сайта это 2й по значимости способ получить ссылки практически с любого сайта - у меня от google результатов не было.

по завершении эксперимента напиши результаты

Тормоз said...

Вообще это баян, а во-вторых подумай о карме :)

bum said...

2 Анонимный:.


так что с яндексом по моему тема еще работает достаточно успешно


Вот это уже действительно обоснованное мнение, а не голословные выкрики, типа - «Все Гамон! Яндекс XSS Прикрыл! Верить Мне! Наслово! И Точка!».

по завершении эксперимента напиши результаты

Да, конечно. Если будут результаты, обязательно напишу.

2 Тормоз:
Вообще это баян, а во-вторых подумай о карме :)

Да, не по-христиански все это : )
Просто интересно проверить работоспособность данного «бояна».

Banana Paradise said...

Годы идут. А все как всегда :) технический спам начал свое существование одновременно с поисковыми ботами. До всяких ХSS XML и прочих новомодных словечек. Эпоха расцвета техническго спама пришлась на начало века :) (2000-01 годы) Война так сказать решета и паяльника. Но из всех известных мне деятелей интернета бабла срубил на этой теме только Ашманов. Причем естественно не самим спамом, а грамотным "спаливанием темы". За счет чего приобрел значительное число дополнительных пунктов к своей популярности.

Banana Paradise said...

ПЫСЫ Земляку пламенный привет!

bum said...

2 Banana Paradise:
... 2000-01 годы ...
Фигасе! А Яндекс только сейчас начинает чесаться по этому поводу?
Оперативно, однако.

Спасибо за краткий экскурс в историю по исследуемой теме.

Земляку пламенный привет!
Дзякуй, шаноýны спадар бананавага выраю!
Табе таксама жгучае прывiтанне!
; )

Joseph Grut said...

Если вы не брезгуете ссылки таким способом приобретать, то крадите трафик. Всего-то, залить на пиаристый сайт редирект и всех посетителей сайта переправлять на свой шоп.

bum said...

2 Joseph Grut:
… то крадите трафик. Всего-то, залить на пиаристый сайт редирект и всех посетителей сайта переправлять на свой шоп.
Не, ну это уж совсем по-черному.

bum said...

За результатами этого эксперимента лезьте сюда

Анонимный said...

меня все заебло( сео это заебло, я сам себя уже достал) тока все и пишут что за месяц на сти зарабатывают — сплю мало, читаю про это сео ибучее, не хрена есче не воткнул, челы знакомые а могет тут они и есть тока ве в шифре — валят в месяц по 1-2к на блек сео. чувствую себя дебилом чтоли, начинаю думать что у меня не куя не полувчится, ен получится научиться зарабатывать лаве в инете, от сео прет — это как морпгг игрушка. не программер я, просто юзарь, децл знаю хтмл и цсс
все вышел в окно, не могу я больше . писта настала

bum said...

все вышел в окно, не могу я больше.
Это весенним обострением называется. Скоро пройдет. Расслабся и выдохни.