怎样利用XSS漏洞在其它网站注入链接？_卜八电脑最全问题故障中心

前两天英国的seo老手Tom Anthony曝出一个 Google蜘蛛存在的漏洞，可能被黑帽SEO利用XSS漏洞在别人网站注入链接，而且这些链接确定会被Google蜘蛛抓取。这个漏洞如果被大规模利用，显然是会影响权重流动和搜索排名的。

Tom去年11月就把这个漏洞汇报给Google了，不过到目前为止Google并没有解决这个漏洞的意思，他们的说法是“Google的现有保护机制应该能预防这种滥用，不过相关团队正在检查验证”。另外Google在回复Tom时提到了有些“内部沟通上的困难”，公司大了是不是都会有这种问题？

既然Google过了5个月都没有采取措施，Tom决定把漏洞公布出来，站长们好检查自己网站是否有XSS漏洞，提取采取预防措施，以防自己网站被注入链接。Google同意Tom公布相关信息，看来还是挺自信的。

什么是XSS攻击

XSS攻击是Cross Site Scripting的缩写，跨站脚本攻击的意思。按说Cross Site Scripting的缩写应该是CSS，但就和页面样式表那个CSS重复了，所以跨站脚本攻击这个改成了XSS。

XSS是一种代码注入攻击。大部分网站都会有某些功能脚本是可以任意修改URL的，比如搜索功能，UGC用户贡献内容网站的提交功能，用脚本实现的转向等等。比如搜索概念，URL经常就是domain.com/search.php?keyword，或者domain.com/?s=keyword之类的（SEO每天一贴的搜索功能就是这个URL格式），其中的keyword是可以替换成任意字符的。

那么keyword部分被替换成脚本会发生什么？比如domain.com/?s=<script>alert(‘XSS’)</script>。有这种漏洞的网站就是在URL中注入恶意脚本时，没有进行安全过滤，而浏览器也没有分辨出是恶意脚本，所以执行了恶意脚本。

XSS可以被用来获取用户敏感信息，可以用来冒充用户向网站发出请求等等，还可以执行脚本，在生成的HTML代码中插入内容，这就是黑帽SEO可以利用来注入链接的漏洞。

怎样利用XSS漏洞在别人网站注入链接

修改URL中的参数，替换为脚本，浏览器执行脚本，在HTML中插入内容，所以也可以插入链接。当然如果只是访问用户的浏览器上显示链接，搜索引擎不抓取这个URL的话，黑帽SEO也就不感兴趣了。问题就是 Google蜘蛛可以抓取被注入脚本的URL，也可以执行JS，所以也就可以看到被注入的链接。

防止XSS攻击，一是服务器端的程序要做安全过滤，最基本的是HTML转义，把<script>alert(‘XSS’)</script>当作被搜索的字符串，而不是要执行的脚本。二是浏览器端的XSS识别，现在的很多浏览器（如Chrome）看到URL中有可疑字符如script之类的，会直接拒绝打开页面。

如果Google蜘蛛和Google自己的Chrome浏览器一样能够识别XSS攻击，带有注入脚本的URL根本不抓取，就没有事情了。但根据Google官方文件说明，到目前为止，Google蜘蛛使用的是比较老的Chrome 41版本，而Chrome 41是没有XSS识别功能的。所以，有XSS程序漏洞的网站，有可能被Google蜘蛛抓取到被注入链接的URL。

Tom做了实验。某新银行（Revolut）网站有XSS漏洞（天哪，银行网站有XSS漏洞。不过现在已经补上了），Tom在Revolut域名上构造了个带有注入脚本的URL，浏览器执行后会在页面顶部放上个链接。Google蜘蛛会怎样处理这种URL呢？Tom用Google的页面移动友好性测试工具验证了一下，因为这个工具会按照 Google蜘蛛的方式渲染页面。结果是这样：

XSS攻击注入链接