к оглавлению

XSS как способ увеличить показатели сайта

Наверно, ни для кого не секрет, что раньше при помощи XSS веб-мастера, владеющие этой магической технологией, пользовались ею для накрутки статических показателей сайта, в частности, показателя "Яндекса" - тИЦ (Тематического индекса цитирования). "Яндекс" был наиболее подвержен этой уязвимости, чуть позже всё стало на свои места: "дырка" этой поисковой системы была заштопана. Уязвимость существовала до мая 2008 года. Этот пост, скорее, просто несёт в себе ознакомительную функцию, чтобы ввести в суть дела того, как это работало. Не думаю, что методы, описанные здесь, будут работать и сейчас, однако всё же нам, как профессионалам в своей области, нужно знать, что это и зачем применялось.

Как говорит нам вездесущая и всемогущая энциклопедия "Википедия":
"XSS (англ. Сross Site Sсriрting — "межсайтовый скриптинг") — тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве".

Тем не менее, применение этой технологии нашли не только хакеры и сетевые злоумышленники, а также и нечистые на руку «серые» оптимизаторы, обещая баснословные статические показатели для сайта клиента из воздуха.

Как же работал межсайтовый скриптинг XSS в сфере раскрутки сайтов?

А всё достаточно примитивно. Действует всё та же схема. Находится баг движка (Wordpress и другие), сервера (Apache и другие), модуля PHP. Это может быть всё, что угодно, доступное из Интернета в публичном доступе для того, чтобы в конечном итоге привело к индексации искомого документа поисковой системой.

Когда баг найден, начинается «пробой» бажного скрипта. Это делается так, как и при стандартной XSS атаке, т. е. создаётся строка с переменными и параметрами, которая посредством метода GET (через адресную строку браузера) отправляется на незащищённый сервер.

Хотите узнать, как раньше можно было получить ссылку с сайтов, подверженных атаке?

А всё просто. Знаете про баг в функции phpinfo() языка PHP Version 4.2.2? Сейчас я вам расскажу. Один блоггер (к сожалению, не помню его имя, если вы тот, о ком идёт речь, отзовитесь) предоставил нам вариант XSS-атаки на подобный сервер.

Смотрим:

http://***.edu/phpinfo.php?f[]=%3Ch1%3EMy-siteb%3C/h1%3E%3Cbr%3E%3Ca%20href%3Dhttp%3A//My-site.ru%3EMy-Site%3C/a%3E

Видим, что бажные параметры находятся в параметре f[], где и создаётся искомая ссылка на сайт атакующего и задаётся даже анкор (!) ссылки. Были люди, которые насобирали базу из тысяч и десятков тысяч таких вот ссылок, прогоняли по ним свои сайты или сайты клиентов и получали неплохой навар в виде прироста ТИЦ.

Далее ссылки просто "скармливали" поисковым системам. Эти ссылки могли быть на форумах, гостевых книгах, просто на сайтах, на бесплатных хостингах или же купленные через биржи. Неважно, главное, чтобы поисковик мог зайти на тот сайт именно с такими параметрами, какие созданы для атаки сервера при помощи XSS.

Пример игры с параметрами строки браузера может быть и такой (но это уже совсем не XSS, хотя некоторая аналогия всё же прослеживается).

http://www.liveinternet.ru/?example.ru

При таком вот запросе сервер выдаёт страницу с прямой ссылкой example.ru.

Кто страдал от XSS в SEO?

- В первую очередь те, кто покупал подобные прокачанные ссылки, т. е. рядовые оптимизаторы сайтов. Они фактически покупали воздух по сумасшедшим деньгам.
- Конечно же, сам каталог "Яндекса", - ведь там всё же работает сортировка по ТИЦ, а если сайт просто прокачан, то страдает его информационная ценность.
- Люди, закатывающие «прогон» своих собственных сайтов по сайтам, подверженным XSS. Тоже деньги на ветер.

Об XSS, как о технологии, которая круто изменила жизнь как веб-мастера, так и оптимизатора, будут говорить ещё долго. Ведь в свой недолгий век она кого-то сделала вмиг богатым, а кто-то просто вмиг прогорел. Вероятно, XSS войдёт в топовые позиции известных лохотронов Рунета, как поучительный пример того, что нужно быть всегда на чеку, кто бы и что ни говорил.

к оглавлению

Знаете ли Вы, что релятивизм (СТО и ОТО) не является истинной наукой? - Истинная наука обязательно опирается на причинность и законы природы, данные нам в физических явлениях (фактах). В отличие от этого СТО и ОТО построены на аксиоматических постулатах, то есть принципиально недоказуемых догматах, в которые обязаны верить последователи этих учений. То есть релятивизм есть форма религии, культа, раздуваемого политической машиной мифического авторитета Эйнштейна и верных его последователей, возводимых в ранг святых от релятивистской физики. Подробнее читайте в FAQ по эфирной физике.

НОВОСТИ ФОРУМАФорум Рыцари теории эфира
Рыцари теории эфира
 14.10.2019 - 03:09: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Марины Мелиховой - Карим_Хайдаров.
13.10.2019 - 18:09: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Светланы Вислобоковой - Карим_Хайдаров.
13.10.2019 - 08:25: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вячеслава Осиевского - Карим_Хайдаров.
13.10.2019 - 08:05: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Декларация Академической Свободы - Карим_Хайдаров.
13.10.2019 - 08:03: ЭКОЛОГИЯ - Ecology -> Биохимия мозга от проф. С.В. Савельева и не только - Карим_Хайдаров.
12.10.2019 - 07:03: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Константина Сёмина - Карим_Хайдаров.
11.10.2019 - 08:59: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от О.Н. Четвериковой - Карим_Хайдаров.
11.10.2019 - 06:24: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> Проблема государственного терроризма - Карим_Хайдаров.
11.10.2019 - 03:57: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> ЗА НАМИ БЛЮДЯТ - Карим_Хайдаров.
11.10.2019 - 03:33: ЭКОЛОГИЯ - Ecology -> ЭКОЛОГИЯ ДЛЯ ВСЕХ - Карим_Хайдаров.
11.10.2019 - 03:22: ЭКОЛОГИЯ - Ecology -> Глобальное потепление - миф или... миф? - Карим_Хайдаров.
09.10.2019 - 19:01: ТЕОРЕТИЗИРОВАНИЕ И МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ - Theorizing and Mathematical Design -> ФУТУРОЛОГИЯ - прогнозы на будущее - Карим_Хайдаров.
Bourabai Research Institution home page

Bourabai Research - Технологии XXI века Bourabai Research Institution