к оглавлению

XSS как способ увеличить показатели сайта

Наверно, ни для кого не секрет, что раньше при помощи XSS веб-мастера, владеющие этой магической технологией, пользовались ею для накрутки статических показателей сайта, в частности, показателя "Яндекса" - тИЦ (Тематического индекса цитирования). "Яндекс" был наиболее подвержен этой уязвимости, чуть позже всё стало на свои места: "дырка" этой поисковой системы была заштопана. Уязвимость существовала до мая 2008 года. Этот пост, скорее, просто несёт в себе ознакомительную функцию, чтобы ввести в суть дела того, как это работало. Не думаю, что методы, описанные здесь, будут работать и сейчас, однако всё же нам, как профессионалам в своей области, нужно знать, что это и зачем применялось.

Как говорит нам вездесущая и всемогущая энциклопедия "Википедия":
"XSS (англ. Сross Site Sсriрting — "межсайтовый скриптинг") — тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве".

Тем не менее, применение этой технологии нашли не только хакеры и сетевые злоумышленники, а также и нечистые на руку «серые» оптимизаторы, обещая баснословные статические показатели для сайта клиента из воздуха.

Как же работал межсайтовый скриптинг XSS в сфере раскрутки сайтов?

А всё достаточно примитивно. Действует всё та же схема. Находится баг движка (Wordpress и другие), сервера (Apache и другие), модуля PHP. Это может быть всё, что угодно, доступное из Интернета в публичном доступе для того, чтобы в конечном итоге привело к индексации искомого документа поисковой системой.

Когда баг найден, начинается «пробой» бажного скрипта. Это делается так, как и при стандартной XSS атаке, т. е. создаётся строка с переменными и параметрами, которая посредством метода GET (через адресную строку браузера) отправляется на незащищённый сервер.

Хотите узнать, как раньше можно было получить ссылку с сайтов, подверженных атаке?

А всё просто. Знаете про баг в функции phpinfo() языка PHP Version 4.2.2? Сейчас я вам расскажу. Один блоггер (к сожалению, не помню его имя, если вы тот, о ком идёт речь, отзовитесь) предоставил нам вариант XSS-атаки на подобный сервер.

Смотрим:

http://***.edu/phpinfo.php?f[]=%3Ch1%3EMy-siteb%3C/h1%3E%3Cbr%3E%3Ca%20href%3Dhttp%3A//My-site.ru%3EMy-Site%3C/a%3E

Видим, что бажные параметры находятся в параметре f[], где и создаётся искомая ссылка на сайт атакующего и задаётся даже анкор (!) ссылки. Были люди, которые насобирали базу из тысяч и десятков тысяч таких вот ссылок, прогоняли по ним свои сайты или сайты клиентов и получали неплохой навар в виде прироста ТИЦ.

Далее ссылки просто "скармливали" поисковым системам. Эти ссылки могли быть на форумах, гостевых книгах, просто на сайтах, на бесплатных хостингах или же купленные через биржи. Неважно, главное, чтобы поисковик мог зайти на тот сайт именно с такими параметрами, какие созданы для атаки сервера при помощи XSS.

Пример игры с параметрами строки браузера может быть и такой (но это уже совсем не XSS, хотя некоторая аналогия всё же прослеживается).

http://www.liveinternet.ru/?example.ru

При таком вот запросе сервер выдаёт страницу с прямой ссылкой example.ru.

Кто страдал от XSS в SEO?

- В первую очередь те, кто покупал подобные прокачанные ссылки, т. е. рядовые оптимизаторы сайтов. Они фактически покупали воздух по сумасшедшим деньгам.
- Конечно же, сам каталог "Яндекса", - ведь там всё же работает сортировка по ТИЦ, а если сайт просто прокачан, то страдает его информационная ценность.
- Люди, закатывающие «прогон» своих собственных сайтов по сайтам, подверженным XSS. Тоже деньги на ветер.

Об XSS, как о технологии, которая круто изменила жизнь как веб-мастера, так и оптимизатора, будут говорить ещё долго. Ведь в свой недолгий век она кого-то сделала вмиг богатым, а кто-то просто вмиг прогорел. Вероятно, XSS войдёт в топовые позиции известных лохотронов Рунета, как поучительный пример того, что нужно быть всегда на чеку, кто бы и что ни говорил.

к оглавлению

Знаете ли Вы, что, когда некоторые исследователи, пытающиеся примирить релятивизм и эфирную физику, говорят, например, о том, что космос состоит на 70% из "физического вакуума", а на 30% - из вещества и поля, то они впадают в фундаментальное логическое противоречие. Это противоречие заключается в следующем.

Вещество и поле не есть что-то отдельное от эфира, также как и человеческое тело не есть что-то отдельное от атомов и молекул его составляющих. Оно и есть эти атомы и молекулы, собранные в определенном порядке. Также и вещество не есть что-то отдельное от элементарных частиц, а оно состоит из них как базовой материи. Также и элементарные частицы состоят из частиц эфира как базовой материи нижнего уровня. Таким образом, всё, что есть во вселенной - это есть эфир. Эфира 100%. Из него состоят элементарные частицы, а из них всё остальное. Подробнее читайте в FAQ по эфирной физике.

НОВОСТИ ФОРУМАФорум Рыцари теории эфира
Рыцари теории эфира
 03.07.2020 - 14:19: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> Проблема государственного терроризма - Карим_Хайдаров.
03.07.2020 - 14:17: ЭКОНОМИКА И ФИНАНСЫ - Economy and Finances -> КОЛЛАПС МИРОВОЙ ФИНАНСОВОЙ СИСТЕМЫ - Карим_Хайдаров.
03.07.2020 - 11:23: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от проф. В.Ю. Катасонова - Карим_Хайдаров.
03.07.2020 - 11:16: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> КОМПЬЮТЕРНО-СЕТЕВАЯ БЕЗОПАСНОСТЬ ДЛЯ ВСЕХ - Карим_Хайдаров.
03.07.2020 - 09:27: ПЕРСОНАЛИИ - Personalias -> WHO IS WHO - КТО ЕСТЬ КТО - Карим_Хайдаров.
02.07.2020 - 16:28: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Пламена Паскова - Карим_Хайдаров.
02.07.2020 - 06:41: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вячеслава Осиевского - Карим_Хайдаров.
01.07.2020 - 20:08: ЭКОЛОГИЯ - Ecology -> Биологическая безопасность населения - Карим_Хайдаров.
01.07.2020 - 20:06: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Владимира Васильевича Квачкова - Карим_Хайдаров.
01.07.2020 - 05:39: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> ПРАВОСУДИЯ.НЕТ - Карим_Хайдаров.
01.07.2020 - 04:20: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> РАСЧЕЛОВЕЧИВАНИЕ ЧЕЛОВЕКА. КОМУ ЭТО НАДО? - Карим_Хайдаров.
30.06.2020 - 19:53: СОВЕСТЬ - Conscience -> РУССКИЙ МИР - Карим_Хайдаров.
Bourabai Research Institution home page

Bourabai Research - Технологии XXI века Bourabai Research Institution