Google так и не закрыл уязвимость, позволяющую совершать XSS-атаки на Googlebot
5 месяцев назад отрудник агентства Distilled Том Энтони (Tom Anthony) обнаружил уязвимость, которая позволяет манипулировать Googlebot для выполнения JavaScript и индексации внесённых с его помощью изменений, включая ссылки. Исследователь уведомил о своей находке Google, однако в компании так и не закрыли эту брешь.
В итоге Том Энтони решил опубликовать информацию об уязвимости в публичном доступе, чтобы проинформировать о потенциальной угрозе владельцев сайтов. При этом он отметил, что в Google проверили его перед публикацией.
Nice write up. With regards the disclosure… I believe releasing it is the best course of action. Google confirmed it was not going to be fixed and the only way for people to protect themselves is to know about it. Google reviewed my post before it was released. ?
— Tom Anthony (@TomAnthonySEO)
Краткое описание проблемы
Поскольку Googlebot работает на основе Chrome 41, то в нём нет функции XSS Auditor, которая используется в более поздних версиях браузера для защиты пользователей от XSS-атак. Между тем многие сайты подвержены атакам, позволяющим манипулировать URL для внедрения JS-кода.
Так как Googlebot выполняет JavaScript, это позволяет хакеру создавать XSS URL, которые способны манипулировать контентом сайтов-жертв. Эти манипуляции могут включать добавление ссылок, по которым Googlebot будет переходить, чтобы просканировать тот сайт, на который они ведут. Это, предположительно, делает возможными манипуляции с PageRank, хотя эта гипотеза не проверялась из-за страха повредить ранжированию сайтов.
Том Энтони уведомил Google об этой уязвимости ещё в ноябре 2018 года, однако в компании не посчитали нужным её закрыть.
Реакция SEO-сообщества
Западные эксперты, включая основателя Moz Рэнда Фишкина и SEO-консультанта Сайруса Шепарда, положительно оценили публикацию этой информации:
Yikes. Better make sure your sites are protected, especially if you're a likely link or content injection target. Thanks to for the transparency:
— Rand Fishkin (@randfish)
Amazing Google vulnerability exposed by , which can be exploited for SEO"XSS attacks on Googlebot allow search index manipulation"Most interesting is they don't seem interested in fixing it. Does this mean Googlebot is ditching Chrome 41?
— Cyrus (@CyrusShepard)
Комментарий Google
Представитель Google в Search Engine Land заявил примерно следующее:
«Мы благодарны исследователю, который довел эту проблему до нашего сведения. Мы провели расследование, но не нашли никаких доказательств того, что [этой уязвимостью] злоупотребляют. Тем не менее, мы сохраняем бдительность и готовы к защите наших систем и внесению изменений, если это понадобится».
Напомним, ранее Том Энтони обнаружил уязвимость, которая позволяла перехватывать поисковый трафик сайтов. За эта исследователь получил от Google вознаграждение в размере $1337.
Українські хакери вразили російські підприємства до Дня РЕБ РФ
Ілон Маск хоче брати гроші з нових користувачів X
Google планує стягувати плату за пошукову систему на основі ШІ
Чатбот зі штучним інтелектом від Google вже доступний в Україні: що він може
Axios: Як Google намагається протистояти у сфері ШІ компаніям Microsoft та OpenAI
Google помилково відіслала деяким користувачам Google Pay від $10 до $1000
Google порахував, скільки мільярдів доходу отримали українські стартапи у 2022 році
«Податок на Google»: Держбюджет вже отримав 6,3 мільярда
Google запускає чат-бот Bard для конкуренції з ChatGPT
Фонд держмайна починає співпрацю з Google: що це значить
У 2022 році російські хакери атакували Україну на 250% частіше – Google
Google запускає конкурента ChatGPT для перших тестувальників
