劫持Google搜索结果是为了娱乐而不是牟利：UK SEO在Google Search Console中发现了XML网站地图漏洞

2017年，作为漏洞奖励计划（VRP）的一部分，Google向个人和研究人员支付了近300万美元，该计划鼓励安全研究界发现并报告Google产品中的漏洞。

本周，汤姆·安东尼（Tom Anthony）（负责SEO机构Distilled的产品研究与开发）因发现使一个站点能够劫持另一个站点的搜索引擎结果页（SERP）可见度和访问量的漏洞而获得了1,337美元的错误赏金-快速索引并轻松为受害网站的竞争关键字排名。

Anthony在他的博客文章中详细介绍了如何通过ping URL提交Google的Search Console（GSC）站点地图，从而实质上允许他为自己控制的站点提交XML站点地图，就好像这是他没有控制的站点地图一样。 为此，他首先找到了允许开放重定向的目标站点。 在测试服务器上抓取其内容并创建该站点（及其URL结构）的副本。 然后，他向Google（托管在测试服务器上）提交了XML站点地图，其中包含目标域的URL，并且hreflang指令指向这些相同的URL，这些URL现在也出现在测试域中。

劫持SERP

在48小时内，测试域开始接收流量。 在一周内，测试网站在SERP的第1页上列出了竞争条款的排名。 此外，GSC还将两个站点显示为相关-将目标站点列出为链接到测试站点：

Google Search Console链接了两个不相关的网站。 资料来源：http://www.tomanthony.co.uk

这种假定的关系还使Anthony可以针对目标站点提交其他XML站点地图（此时不在测试站点的GSC内，而不是通过ping URL）：

受害者网站站点地图直接在GSC中上载–来源：http://www.tomanthony.co.uk

了解范围

开放式重新导向本身并不是一个新的或新的问题-和谷歌已经对自2009年有什么值得一提的是这里的是，利用开放重定向合作，不只是提交一个流氓网站地图针对这种攻击向量支撑起自己的网站站长的警告，但有效地对一个全新的域，一个全新的网站进行排名，而实际的入站链接为零，并且没有促销。 然后在三周内获得超过一百万次搜索展示，10,000个唯一访问者和40,000次页面访问（仅通过搜索流量）的全新网站和域。

这里的“错误”既是站点地图提交的问题（随后的直通GSC站点地图提交令人担忧），又是一个更大的问题，即算法如何立即将一个站点的所有权益应用于完全独立且不相关的域。

资料来源：http://www.tomanthony.co.uk

我向Google提出了一系列有关此漏洞利用的详细问题，包括搜索质量团队参与追求和实施修复程序的过程，以及他们是否能够检测到可能已经利用此漏洞的不良行为者并采取行动脆弱性。 Google发言人回答：

当我们收到有关该问题的警报时，我们跨团队紧密合作以解决该问题。 它不是以前已知的问题，我们不认为已使用过它。

在回答有关提交的站点地图，GSC和股权转让影响结果的问题时，发言人说：

我们继续建议网站所有者使用站点地图，使我们了解其网站中的新页面和更新页面。 此外，新的Search Console还使用站点地图作为在“索引覆盖率”报告中细化网站**定信息的一种方式。 如果您要在网站之外托管站点地图，为了正确使用，请务必在同一个Search Console帐户中验证两个网站，这一点很重要。

我与Anthony详细讨论了此漏洞利用和研究。

研究过程

当被问到他从事这项工作的动机时，他说：“我相信有效的SEO就是尝试并试图了解幕后事物的人。 我从未做过任何黑帽式SEO，因此给自己设置了挑战，那就是要在事物的这一方面寻找一些东西。 主要是为了获得学习经验，以及如果我在野外看到它的话，可以作为防御的一种方式。”

他补充说：“我喜欢将安全性研究作为一种业余爱好，因此决定不采用“传统的”黑帽路线来操纵算法的排名信号，而是想知道是否可以找到一个彻底的错误，它。”

通常，追求给定方法的动力与经历（或让经历过的客户）SERP流量或排名突然下降有关。 安东尼指出：“在Distilled，像许多SEO一样，我一直在处理含有无法解释的液滴的网站。 客户经常声称“ SEO为负”，但通常情况要平庸得多。 使这个特定问题担心的是[典型]可以检测到典型的负面SEO攻击。 如果我通过低质量的链接向您发送垃圾邮件，则可以找到它们，也可以确认它们存在。 有了这个问题，攻击者似乎就可以利用您在Google中的股权，您将不会知道。”

安东尼花了四个星期的晚上和周末来研究，他发现结合他已经开始的不同研究流被证明是有效的，因为每个研究流分别导致死胡同。 “我结束了两个研究线程–一个围绕开放重定向，因为它们是我认为可以利用网站进行SEO破解网站工作方式的一个裂缝–另一个涉及XML网站地图，并试图在解析时使Googlebot错误他们（我跑了约20变种，但没有奏效！）。 在这一点上，我是如此深入，当我意识到这两种研究流可以结合在一起时，我感到非常启发。”

报告与解决

一旦他意识到可能对网站造成的影响和伤害，安东尼便将该错误报告给了Google的安全团队（请参阅其帖子中的完整时间表）。 Anthony指出，这种方法以前是Google所不知道的，但可以被广泛使用。 但是，该错误的性质意味着它实际上是不可检测的。 如果“受害者”的资产被用来在另一个国家排名，那么受害者可能不会受到直接影响，然后受害者成为合法的公司，被攻击者压低了排名。 他们将无法判断攻击者网站的排名如何。”

如上所述，谷歌发言人表示他们不认为它已经被使用过。 从他们的响应中还不清楚他们是否有可用的数据，这些数据将使他们能够检测以这种方式使用的ping通站点地图。 如果提供进一步的评论或信息，我们将更新此帖子。

特别是在检测问题上，我请安东尼推测要扩大此漏洞利用范围。 “实验的最大缺点是，我在URL结构和内容方面与原始网站的模仿程度非常接近。 我准备了很多实验，旨在衡量您使攻击者站点的差异如何：我是否需要与父站点相同的URL结构？ 内容必须有多相似？ 我可以在与受害者网站相同的国家/地区中定位其他语言吗？ 就我而言，我认为我可以使用相同的方法重新运行，但可以对攻击点进行更多区分，并且[可能]可以逃脱检测。”他说。

他补充说：“如果我把它留给自己，那么我想我可能已经走了几个月甚至几年。 如果您完全欺骗了人们，那将是短暂的，但是如果您使用这种方法来推动会员流量，甚至只是为了促进自己的合法业务，那么就几乎没有理由被您抓住。”

如下图所示，驱动到测试站点的短暂流量可能比他获得的相对较小的赏金（相比之下）更有价值，这使安全团队是否真的了解该漏洞的含义就令人怀疑。

Searchmetrics的流量价值。 资料来源：http://www.tomanthony.co.uk

但是，Anthony的动机（以及他为什么立即报告此漏洞的原因）植根于研究并为搜索社区提供了帮助。

“进行此类研究是一种学习体验，而不是滥用您的发现。 在业界，我们有时会抱怨Google，但是[向]消费者提供了出色的服务，我认为好的SEO确实可以帮上忙-这基本上是对同一想法的扩展。 他们运行的“漏洞奖励计划”是将研究工作重点放在他们身上而不是在其他地方的一个很好的激励; 可能会因投入的时间和精力而获得奖励，这是很好的。”

本文中表达的观点是来宾作者的观点，不一定是Search Engine Land。 工作人员作者在此处列出。