Уязвимость в Search Console позволяла перехватывать поисковый трафик сайтов

На днях Google выплатил $1337 за найденную уязвимость в Search Console, которая позволяла одному сайту перехватывать поисковый трафик другого: быстро индексироваться и ранжироваться по конкурентным ключевым словам. Брешь обнаружил глава подразделения Product Research & Development в британском агентстве интернет-маркетинга Distilled Том Энтони (Tom Anthony). На данный момент она уже устранена.

Энтони опубликовал пост, в котором подробно описал, как уязвимость в Search Console позволяла с помощью #google#.com/ping отправлять XML-карту сайта, созданную для контролируемого им сайта, так, как будто это была карта для другого сайта, неконтролируемого им.

Для этого он находил целевой сайт, разрешающий открытые редиректы, копировал его контент и создавал дубликат этого сайта (и его URL-структуры) на тестовом сервере. Затем он отправлял XML-карту в Google (размещённую на тестовом сервере), которая включала URL для целевого домена с директивами hreflang, указывающими на те же самые URL, но представленные на тестовом домене.

В течение 48 часов тестовый домен начинал получать трафик. За неделю тестовый сайт вышел на первую страницу результатов поиска по конкурентным ключевым словам. Search Console отображал эти два сайта как связанные друг с другом – указывая целевой сайт как ссылающийся на тестовый:

Эта предполагаемая связь позволила Энтони отправить другие XML-карты для целевого сайта – теперь через Search Console для тестового сайта, а не #google#.com/ping.

Представитель Google прокомментировал эту ситуацию так:

«Когда мы получили информацию об этой проблеме, то к поиску её решения были привлечены сразу несколько групп. Эта уязвимость была неизвестна ранее, и мы не думаем, что она была использована».

На вопрос об изменениях относительно отправки файлов Sitemap и перехвата трафика другого сайта в Google ответили так:

«Мы продолжаем рекомендовать владельцам сайтов использовать файлы Sitemap, чтобы мы могли знать о новых и обновлённых страницах на сайте. Кроме того, новый Search Console также использует файлы Sitemap как источник определённой информации о сайте для отчёта Index Covering. Если вы храните файлы Sitemap за пределами своего сайта, для правильного использования важно, чтобы оба сайта были подтверждены через один и тот же аккаунт в Search Console».

Что касается вознаграждения, то, по мнению Тома Энтони, оно было относительно небольшим в сравнении с той ценностью, которую имел привлечённый с помощью уязвимости трафик.

Это привело его к мысли, что команда безопасности Google в полной мере не понимала возможных последствий использования обнаруженной им уязвимости.

Напомним, что в 2017 году Google выплатил охотникам за багами в общей сумме $2,9 млн.