Многим, конечно, не станет секретом то, что ранее использовалась некоторая секретная и запрещённая технология XSS у вебмастеров, которые могли использовать её в качестве накрутки некоторых статических показателей проектов, включая известный показатель тИЦ от Яндекса, который означает тематический индекс цитирования.
Более того, стоит отметить, что данной хакерской операции была подвержена именно вышеупомянутая система Яндекс, однако вскоре дырку заштопали, и всё вновь встало на собственные места. Такая уязвимость наблюдалась в начале мая 2008 года. Данный пост и статья в целом будет рассказывать вам скорее об исторической ценности данного события, а также о том, как профессионалы использовали данную функцию в качестве хакерских и хитрых методов накрутки.
Википедия нам говорит о том, что XSS – это простой тип уязвимости различных компьютерных систем, которые используются во время хакерских атак. Особая уникальность данной атаки заключается в том, что вместо обычной атаки самостоятельно сервера, они использовали именно уязвимые сервера в качестве атаки на самого клиента. XSS-атака обычно производилась при помощи конструирования особой ссылки, которой в дальнейшем атаковали жертву.
Однако применение данной технологии в сфере нашли не просто хакеры и злоумышленники сетевого пространства, но также подлые оптимизаторы, которые обещали удивительные показатели для сайта своего клиента практически из воздуха.
Какова была работа межсайтового скриптинга XSS в качестве именно раскрутки проектов?
Всё довольно просто. Работала такая же схема. Производится поиск бага в двигателе проекта, сервера или модуля PHP. Для этого подойдёт практически всё, что может быть легко доступно из Интернета для быстрого доступа, которое может в дальнейшем привести к банальной индексации данного документа простой поисковой системой.
После нахождения бага, начинался обычный «пробой» багнутого скрипта. Данный метод проводился также как и обычная XSS атака, поэтому создавалась определённая строка, которая заключала в себя некоторые переменные и параметры. Далее они посредством метода GET легко отправлялись на обычный незащищённый сервер.
Желаете узнать, каким образом ранее получали ссылку с сайтов, которые были подвержены атаке?
Всё довольно просто. Имеется баг в некоторой функции phpinfo(), которая существовала в языке PHP версии 4.2.2. Сейчас рассмотрим подробнее. Один блогер в своё время предоставил нам отличный вариант простой XSS-атаки, которая ранее использовалась на подобный сервер.
Вот она:
http://***.edu/phpinfo.php?f[]=%3Ch1%3My-siteb%3C/h1%3E%3Cbr%3E%3Ca%20href%3Dhttp%3//My-site.ru%3EMy-Site%3C/a%3E
Мы прекрасно видим, что багнутые параметры расположены именно в параметре f[], а там создаётся данная искомая ссылка, которая в дальнейшем уходит на сайт атакующего, где может задаваться даже анкор.
Существовали оптимизаторы, которые могли собрать целые базы таких проектов из многих тысяч и целых десятков тысяч подобных ссылок, а затем занимались прогоном сайтов собственного производства и сайтов клиентов в особенности, в связи с чем, все сайты получали огромный прирост тИЦ.
Далее данные ссылки банально «скармливали» поисковой системе. Данные ссылки могли находиться практически везде, где пожелаете, включая форумы, гостевые книги, банальные и простые сайты, купленные через простые биржи.
Главное, чтобы поисковая система могла зайти на проект именно с подобными параметрами, которые были созданы именно для атаки серверного оборудования с помощью XSS.
Пример подобной игры, с различными параметрами включая строку браузера, может быть подобный, однако такая атака не является XSS, хотя некая аналогия здесь может прослеживаться.
http://www.liveinternet.ru/?example.ru
Такой запрос позволял переходить на сайт example.ru. Всё просто.
Кто пострадал от XSS в SEO?
- - Естественно, первыми пострадали все, кто покупал некоторые ссылки прокачанные подобным образом, поэтому оказалось, что они покупают за сумасшедшие деньги воздух.
- - Яндекс.Каталог, который построен в целом на ранжировании показателя ТИЦ, а потому прокаченный сайты просто убивали его своей не информативностью относительно настоящих.
- - Прогон сайтов можно также отнести к первому пункту, однако масштабные прогоны – масштабные деньги, которые также ушли на ветер.
О подобной технологии, как XSS можно очень долго говорить, поскольку именно она смогла так круто и сильно изменить жизнь многих вебмастеров. Ведь именно она смогла кого-то сделать быстро богатым, а многие вскоре потеряли большие деньги.
Конечно, технология XSS обязательно войдёт в главенствующие позиции различных известных фальшивок Рунета, которые раньше так сильно мог трусить доверчивых оптимизаторов. Это лучший пример того, как стоит всегда обязательно несколько раз проверять всё, чтобы быть полностью уверенным во всём. Качественных прогонов и трастовых ссылок вам! Удачи!