利用程序漏洞增加大量gov,edu外链

By | 2019年5月22日

看到zac的一篇文章:怎样利用XSS漏洞在其它网站注入链接?

老外一如既往很闲很蛋疼,遇到漏洞不是先拿来疯狂货币化一番,而是举报,这是怎样的国际主义精神啊。

只是这种技术真心不是新技术。

XSS漏洞分很多种,有存储型有反射型,这种注入链接的XSS漏洞只需要反射型漏洞就可以了,相对而言数量比较多。只是这类链接确实作用不大,而且如文章所言,下个版本的蜘蛛也就从源头封堵了XSS injection。

XSS可以通用的防,程序设计上的漏洞才是防不胜防。

某个大站(比如淘宝,支付宝,腾讯等等)在某个跳转链接(如促销活动链接)时,没有判断跳转域名是否是合法域名。对于外链狗而言,相当于送了一个301链接( 最次也是个302 )。对于网络钓鱼的骗子而言,就相当于送了一个可信域名给他。

还有的时候判断了是否是合法域名,但依旧可以 HTML injection 插入外链:

只能说程序狗的想象力不如外链狗的丰富…

仔细研究下上面的案例就会发现,这是一个通用的繁简体转化的程序,采用这个程序的gov网站不要太多…

Category: SEO

发表评论

电子邮件地址不会被公开。 必填项已用*标注