В свои студенческие времена, у меня был знакомый кореш, который замутил свой интернет-магазин. Короче, крутил он, вертел пальцами, что движок к сайту он писал собственноручно, и никакой какер к нему не подсунется. Так вот помниться, поспорили мы, чисто символически по-студенчески, - на пиво, что и на старуху найдется проруха. Тогда-то я и познакомился с так называемым - XSS.
Для тех, кто не в курсе, какой смысл скрывается за аббревиатурой XSS, вкратце поясню. XSS (Сross Site Sсriрting, в простонародии - межсайтовый скриптинг) - это разновидность уязвимостей web-ресурсов, которые некорректно обрабатывают специальным образом подготовленные запросы. Под некорректной обработкой понимается отсутствие или недостаточная фильтрация небезопасных конструкций в параметрах запроса с непосредственным выводом этих конструкций на страницу.
Возвращаясь к сайту кореша, как вы уже, наверное догадались, нашел я таки там XSS-дырку в поисковых запросах его e-магазина.
Написал соответствующий линк, который на странице подгружал левый скрипт со стороннего сайта. Даже скриншот сделал для внуков. И послал корешу ядовитый урл вместе со скриншотом по почте.
Кореш потом рассказывал, что чуть со стула не грохнулся когда перешёл по ссылке и увидел на своем сайте такую картину …
Выиграл тогда я свое пиво.
Только баловство все это. Лучше бы я тогда на примере кореша в e-коммерцию ушел. Быстрее бы в SEO пришел.
Прелюдия это была.
Вчера, совершая вечерний променад, по пути домой осенила меня мысля. А почему бы таким же вышеописанным образом не попытаться продвигать свои линки через XSS уязвимости пеаристых сайтов? Проще говоря, скрестить XSS с SEO.
Согласен, метод не совсем из белых, но не проверить его хотя бы в экспериментальных целях было бы непростительным расточительством.
Значит сущность метода такова:
- находим пачку пропеаренных сайтов с вышеуказанными недостатками;
- подготавливаем для них «нужные» ссылки на «нужные» сайты;
- скармливаем эти ссылки поисковикам;
- ждем прокачки «нужных» сайтов;
- радуемся : )
- Как воспримут поисковые роботы «нужные» ссылки?
- В каких поисковых системах они проиндексируются?
- В каких не проиндексируются?
- Включит ли мой блог Давыдов в свой 4-ый китайский эксперимент?
- Был Ли У Древних Инков Сбит Прицел?
- Как Нужно Какать?
- Что будет, если в Яндексе ввести "Давыдов"? ; )
Воодушевленный собственным открытием, вернувшись домой, я незамедлительно стал искать ответы на свои вопросы.
Набрав в гугле ключевые слова данного поста и пробежав по ссылкам СЕРПа, я понял, что хреновый из меня Архимед получается. Понятное дело, все уже придумано до нас и за нас. И надеяться на уникальность данной идеи было бы сверхглупо. Хуже того, с первого взгляда по названиям ссылок (Яндекс больше не любит XSS, XSS накрылось, неуспев толком воплотиться), можно без труда догадаться, что лавочка уже прикрыта, по крайней мере, у Яндекса. В разочарованных чувствах я продолжил прощупывать информацию по теме.
В основном везде в постах говорилось, что в метод уже не работает, однако комменты к статьям расходились во мнениях. Одни кричали, что «XSS-линки уже не работают!», другие в ответ – «Ещё как работают, только вы не умеете их готовить!», третьи орали и на первых и на вторых, чтобы те, не палили темы простым смертным. Не понимаю я только, где тут палево?
Дурдом, короче. Вообщем, для меня тема XSS в SEO до сих пор не раскрыта.
Посему, решил провести свой тестовый эксперимент. Нарыл пяток линков на сайты с «некислыми» ПиаРами на мордах:
- www.nist.gov - National Institute of Standards and Technology;
- www.adobe.com - Adobe Systems Incorporated;
- music.download.com - Free MP3 Music Downloads;
- riaa.com - Recording Industry Association of America;
- search.nba.com - без комментариев ...
Будем надеяться, что сильно по жопе за эти действа не получу : )
На всякий случай отбрехаюсь, что я не я, и корова не моя.
Типа, дисклэймерВся представленная здесь информация представлена в образовательных целях и носит исключительно исследовательский характер. Автор ответственности за использование данной информации в незаконных целях естественно не несет. Он лишь пытается указать на ошибки в работе исследуемых систем.
17 Comments:
набири в яндексе forbes и посмотри первую 20ку сайтов в выдаче
сто пудов на выбранных сайтах не будет xss дырок - это вам не самодельный инет-магаз начала века
Не работает уже xss. Даже яндекс прикрыл.
2 анонимный:
набири в яндексе forbes и посмотри первую 20ку сайтов в выдаче
Может я чего-то не догоняю, но как не всматривался и в 20ку и в 30ку. Ну ничего я там не увидел.
2 vyacheslav:
сто пудов на выбранных сайтах не будет xss дырок - это вам не самодельный инет-магаз начала века
вы какие "выбранные сайты" имеете ввиду?
Те которые в посте?
:)
По ссылкам прогуляйтесь и обратите свое внимание на красную ссылочку с уникальным якорем 82b7051ed0196bf778b7290689920f19
2 анонимный:
Не работает уже xss. Даже яндекс прикрыл.
Вот через 1-2 недели и проверим прикрыл или нет.
Может я чего-то не догоняю, но как не всматривался и в 20ку и в 30ку. Ну ничего я там не увидел.
------------
4 место - www.ikik.ru
9 место - www.imab.ru
10 - www.upnews.ru
+ 3 сайта со 2ой страницы
посмотри у них backlinks
(http://www.yandex.ru/yandsearch?Link=www.ikik.ru&numdoc=50&rd=0 - практически по всем запросам, по которым сайт продвигался этим способом - он в 1ой 20ке яндекса)
прямо сейчас яндекс удаляет эти обратные ссылки потихоньку (>>>>no title), утром было 290
2 анонимный:
Ага! Точно. Теперь допер.
Спасибо за разъяснения.
То бишь Яндекс нынче зачистку делает таким бэклинкам.
А как насчёт Гугла? Не в курсе? Я где-то прочитал что ОН, типо давно, эту лазейку прикрыл.
Ага! Точно. Теперь допер.
Спасибо за разъяснения.
То бишь Яндекс нынче зачистку делает таким бэклинкам.
А как насчёт Гугла? Не в курсе? Я где-то прочитал что ОН, типо давно, эту лазейку прикрыл.
----------
ikik.ru висит по своим запросам в топе уже достаточно давно
тот же http://www.agrotara.ru/search/?str=%22%3E%3C%61%20%68%72%65%66%3D%68%74%74%70%3A%2F%2F%77%77%77%2E%69%6B%69%6B%2E%72%75%2F%3E%EB%FE%E4%E8%3C%2F%61%3E проиндексирован яндексом 22 февраля
мне кажется проблема ikik.ru в том, что там нет настоящего сайта
если сделать полноценный сайт и продвигать точные запросы которые есть в тексте страницы, иметь много естественных ссылок, чтобы не было "найдено по ссылке", то можно достаточно долго быть в топе яндекса. он удаляет 100 ссылок - ты ставишь 200, и тд
тот же forbes - не самый легкий запрос, но сайты легко вышли в топ ни имея ни forbes в тексте, ни каких либо других ссылок кроме "поисковых"
так что с яндексом по моему тема еще работает достаточно успешно
с гуглом мне кажется все гораздо сложнее. если ты так легко смог поставить ссылку с adobe, то я практически уверен, что гугл такие ссылки оперделяет и не учитывает. ведь после взлом сайта это 2й по значимости способ получить ссылки практически с любого сайта - у меня от google результатов не было.
по завершении эксперимента напиши результаты
Вообще это баян, а во-вторых подумай о карме :)
2 Анонимный:.
…
так что с яндексом по моему тема еще работает достаточно успешно
Вот это уже действительно обоснованное мнение, а не голословные выкрики, типа - «Все Гамон! Яндекс XSS Прикрыл! Верить Мне! Наслово! И Точка!».
по завершении эксперимента напиши результаты
Да, конечно. Если будут результаты, обязательно напишу.
2 Тормоз:
Вообще это баян, а во-вторых подумай о карме :)
Да, не по-христиански все это : )
Просто интересно проверить работоспособность данного «бояна».
Годы идут. А все как всегда :) технический спам начал свое существование одновременно с поисковыми ботами. До всяких ХSS XML и прочих новомодных словечек. Эпоха расцвета техническго спама пришлась на начало века :) (2000-01 годы) Война так сказать решета и паяльника. Но из всех известных мне деятелей интернета бабла срубил на этой теме только Ашманов. Причем естественно не самим спамом, а грамотным "спаливанием темы". За счет чего приобрел значительное число дополнительных пунктов к своей популярности.
ПЫСЫ Земляку пламенный привет!
2 Banana Paradise:
... 2000-01 годы ...
Фигасе! А Яндекс только сейчас начинает чесаться по этому поводу?
Оперативно, однако.
Спасибо за краткий экскурс в историю по исследуемой теме.
Земляку пламенный привет!
Дзякуй, шаноýны спадар бананавага выраю!
Табе таксама жгучае прывiтанне!
; )
Если вы не брезгуете ссылки таким способом приобретать, то крадите трафик. Всего-то, залить на пиаристый сайт редирект и всех посетителей сайта переправлять на свой шоп.
2 Joseph Grut:
… то крадите трафик. Всего-то, залить на пиаристый сайт редирект и всех посетителей сайта переправлять на свой шоп.
Не, ну это уж совсем по-черному.
За результатами этого эксперимента лезьте сюда
меня все заебло( сео это заебло, я сам себя уже достал) тока все и пишут что за месяц на сти зарабатывают — сплю мало, читаю про это сео ибучее, не хрена есче не воткнул, челы знакомые а могет тут они и есть тока ве в шифре — валят в месяц по 1-2к на блек сео. чувствую себя дебилом чтоли, начинаю думать что у меня не куя не полувчится, ен получится научиться зарабатывать лаве в инете, от сео прет — это как морпгг игрушка. не программер я, просто юзарь, децл знаю хтмл и цсс
все вышел в окно, не могу я больше . писта настала
все вышел в окно, не могу я больше.
Это весенним обострением называется. Скоро пройдет. Расслабся и выдохни.
Post a Comment