Google так и не закрыл уязвимость, позволяющую совершать XSS-атаки на Googlebot

5 месяцев назад отрудник агентства Distilled Том Энтони (Tom Anthony) обнаружил уязвимость, которая позволяет манипулировать Googlebot для выполнения JavaScript и индексации внесённых с его помощью изменений, включая ссылки. Исследователь уведомил о своей находке Google, однако в компании так и не закрыли эту брешь.

В итоге Том Энтони решил опубликовать информацию об уязвимости в публичном доступе, чтобы проинформировать о потенциальной угрозе владельцев сайтов. При этом он отметил, что в Google проверили его статью перед публикацией.

Nice write up. With regards the disclosure… I believe releasing it is the best course of action. Google confirmed it was not going to be fixed and the only way for people to protect themselves is to know about it. Google reviewed my post before it was released. ?

— Tom Anthony (@TomAnthonySEO) May 2, 2019

Краткое описание проблемы

Поскольку Googlebot работает на основе Chrome 41, то в нём нет функции XSS Auditor, которая используется в более поздних версиях браузера для защиты пользователей от XSS-атак. Между тем многие сайты подвержены атакам, позволяющим манипулировать URL для внедрения JS-кода.

Так как Googlebot выполняет JavaScript, это позволяет хакеру создавать XSS URL, которые способны манипулировать контентом сайтов-жертв. Эти манипуляции могут включать добавление ссылок, по которым Googlebot будет переходить, чтобы просканировать тот сайт, на который они ведут. Это, предположительно, делает возможными манипуляции с PageRank, хотя эта гипотеза не проверялась из-за страха повредить ранжированию сайтов.

Том Энтони уведомил Google об этой уязвимости ещё в ноябре 2018 года, однако в компании не посчитали нужным её закрыть.

Реакция SEO-сообщества

Западные эксперты, включая основателя Moz Рэнда Фишкина и SEO-консультанта Сайруса Шепарда, положительно оценили публикацию этой информации:

Yikes. Better make sure your sites are protected, especially if you're a likely link or content injection target. Thanks to @TomAnthonySEO for the transparency: https://t.co/9UDbiQ620C pic.twitter.com/sTzFKyBD2C

— Rand Fishkin (@randfish) May 1, 2019

Amazing Google vulnerability exposed by @TomAnthonySEO, which can be exploited for SEO"XSS attacks on Googlebot allow search index manipulation"Most interesting is they don't seem interested in fixing it. Does this mean Googlebot is ditching Chrome 41?https://t.co/a48mTXhGN1 pic.twitter.com/JC8nnmbwOk

— Cyrus (@CyrusShepard) May 2, 2019

Комментарий Google

Представитель Google в комментарии Search Engine Land заявил примерно следующее:

«Мы благодарны исследователю, который довел эту проблему до нашего сведения. Мы провели расследование, но не нашли никаких доказательств того, что [этой уязвимостью] злоупотребляют. Тем не менее, мы сохраняем бдительность и готовы к защите наших систем и внесению изменений, если это понадобится».

Напомним, ранее Том Энтони обнаружил уязвимость, которая позволяла перехватывать поисковый трафик сайтов. За эта исследователь получил от Google вознаграждение в размере $1337.







Интересные новости
Дети обмениваются порно-фото и выкладывают их в Сеть, а взрослые не понимают Интернет-слэнг
Марк Цукерберг раскритиковал "Социальную сеть"
Американских игроков начали сажать
1го апреля один из сайтов дошутился: на него подают в суд
Масоны онлайн
Блок рекламы


Похожие новости

Google програв судовий процес щодо антимонопольного штрафу ЄС у розмірі $2,7 млрдGoogle програв судовий процес щодо антимонопольного штрафу ЄС у розмірі $2,7 млрд
Google заплатив Apple $20 млрд, щоб стати стандартним пошуковиком у SafariGoogle заплатив Apple $20 млрд, щоб стати стандартним пошуковиком у Safari
Google планує стягувати плату за пошукову систему на основі ШІGoogle планує стягувати плату за пошукову систему на основі ШІ
Чатбот зі штучним інтелектом від Google вже доступний в Україні: що він можеЧатбот зі штучним інтелектом від Google вже доступний в Україні: що він може
Axios: Як Google намагається протистояти у сфері ШІ компаніям Microsoft та OpenAIAxios: Як Google намагається протистояти у сфері ШІ компаніям Microsoft та OpenAI
Google помилково відіслала деяким користувачам Google Pay від $10 до $1000Google помилково відіслала деяким користувачам Google Pay від $10 до $1000
Google порахував, скільки мільярдів доходу отримали українські стартапи у 2022 роціGoogle порахував, скільки мільярдів доходу отримали українські стартапи у 2022 році
«Податок на Google»: Держбюджет вже отримав 6,3 мільярда«Податок на Google»: Держбюджет вже отримав 6,3 мільярда
Google запускає чат-бот Bard для конкуренції з ChatGPTGoogle запускає чат-бот Bard для конкуренції з ChatGPT
Фонд держмайна починає співпрацю з Google: що це значитьФонд держмайна починає співпрацю з Google: що це значить
Последние новости

Подгружаем последние новости