В 2017 году Google заплатил около 3 млн. долларов экспериментаторам в рамках Vulnerability Reward Program, нашедшим уязвимости в продуктах Google. На этой неделе также получил вознаграждение Tom Anthony, сеошник из Великобритании, за выявление уязвимости, из-за которой можно было быстро индексироваться и получать чужой трафик. Ниже представлен перевод поста Тома с подробностями взлома.
Краткая версия:
Google имеет URL, по которому можно пингануть XML Sitemap. После пинга Google сканирует карту и парсит адреса в нём. Для любых сайтов с открытым редиректом (таких как LinkedIn, Facebook и тысячи eCommerce-сайтов) возможно пингануть сайтмап, который хостится у вас, и Google будет доверять этой карте также, как и зараженному сайту.
Используя в карте сайта большого интернет-магазина в Великобритании директиву hreflang я моментально был в ТОПе по разным конкурентным запросам в США.
Google уже пофиксил баг и заплатил вознаграждение в размере $1337.
Недавно мне удалось найти особенность в Google, которая позволяет атакующему отправить XML sitemap для сайта, к которому нет доступа. Так как этот файл может содержать директивы индексации, такие как hreflang, это позволяет атакующему использовать эти директивы и помогать своим сайтам ранжироваться в Google. В рамках эксперимента мне удалось попасть новым доменом без обратных ссылок на первую страницу поиска по очень сладким ключевым словам.
