以下来自阿里巴巴集团安全部的高级安全专家 汇丰 的解读:
4年一届世界杯正在如火如荼的进行,等了4年,谁都不想轻易的放过这一个月的狂欢,除了买票去现场感受足球氛围以外,大部分人都会去预测每场比赛的结果,毋庸置疑各种博彩和竞猜app是世界杯月里面安装量增长最快的应用。
今天我们不讨论世界杯谁能夺冠,也不讨论博彩和比赛竞猜的玩法,我们先从广告开始看下相关的黑灰产如何突破重重阻碍把广告打到你脸上,再谈谈一些看似低危的漏洞如果用在黑灰产中会带来多少危害。讨论的内容有点敏感,还是那句话,技术是把双刃剑,希望大家看到的是两面,但是只用一面。文章中大部分的漏洞本身就是在修复范围内的漏洞,只不过站在不同的角度能看到不同的利用价值或者说危害程度,有些漏洞对公司无害或者没什么危害不代表他的社会危害低,就像电信诈骗一样,公司泄露的是数据,但从单个case来说排除部分大公司的赔偿,基本都是需要用户自己买单。
流量是所有互联网公司最看重的,只要有流量就能变现。流量这块中很重要的就是三方搜索引擎的流量来源,也就是我们常用的谷歌、百度、神马等,另外就是基于搜索引擎的各种黑、白帽seo技术。我们知道搜索引擎抓取网页以后在建立排名的时候主要以title关键词建索引然后根据一定的算法建立排名,排名算法中特别重要的是看网站的权重,如果是权重高的网站关键词也相应排名比较靠前。所以从这个角度来看主要有两个条件,一个是title可控,一个是网站本身的权重,所以基于这两个条件我们来看下黑灰产是怎么玩转一些鸡肋漏洞的。
场景一、搜索
内部搜索是现在各网站或者服务的标配,很多搜索结果的聚合页面都会把我们搜索的关键词放到title当中,相当于用户可自定义title,然后把整个搜索链接想办法让搜索引擎收录,因为网站本身的权重较高,所以这种的链接有时能获得较好的排名。这是利用这点黑灰产就可以免费打广告了,而且这种方法成本非常低,通过一个脚本可以生成无数这种网页,如下列举一些截图:
场景二、个人主页
基于搜索的场景搜索引擎很好封堵,搜索引擎应该也会逐渐识别,处理规则可以类似反射型xss,当url中的关键字在title中出现就不收录,所以以后估计会越来越少越来越难,但是基于个人主页的场景应该会长期存在,需要做内容关键字识别及时封堵。
如下图是1688的个人主页:
百度自家产品百家号: