http://google.com/pingsitemap=http://www.abc.com/logincontinue=xyz.com/sitemap.xml

xyz.com是他自己的新注冊(cè)的域名，abc.com是某支持開放轉(zhuǎn)向的、有很好搜索流量的、別人的網(wǎng)站。顯然，sitemap.xml文件是放在xyz.com上的，但Google把這個(gè)文件當(dāng)成是abc.com的sitemap文件（轉(zhuǎn)向前的域名）。這樣，黑帽SEO可以控制其它人的網(wǎng)站sitemap文件，并利用某些指令劫持權(quán)重、排名、流量。

Tomanthony做了很多測(cè)試，其中成功的是hreflang指令。他選了一個(gè)英國(guó)的零售商網(wǎng)站（作為上面例子中的abc.com域名），為了保護(hù)對(duì)方，并沒有說是哪個(gè)網(wǎng)站，在自己的xyz.com域名上采集了對(duì)方網(wǎng)站，包括結(jié)構(gòu)和內(nèi)容，只修改了地址、貨幣之類的信息。然后在xyz.com域名放上sitemap.xml文件，里面列出那個(gè)英國(guó)網(wǎng)站的URL，但每個(gè)URL加上了多語言網(wǎng)站需要用的hreflang指令，通知Google，這個(gè)英國(guó)網(wǎng)站頁面對(duì)應(yīng)的美國(guó)版本在xyz.com上。最后，如前面說的，用ping的機(jī)制提交xyz.com上的sitemap.xml文件，但Google卻誤以為是英國(guó)網(wǎng)站abc.com的合法sitemap.xml文件。

結(jié)果是，Google傳遞了英國(guó)網(wǎng)站的權(quán)重到xyz.com域名上。Tomanthony這里說的不是很明確，但我理解，是在美國(guó)Google.com上獲得了那個(gè)英國(guó)網(wǎng)站在Google.co.uk上應(yīng)有的權(quán)重和排名。

48小時(shí)內(nèi)，新域名就開始被索引，并獲得一些長(zhǎng)尾詞的排名：

在過幾天，重要的商業(yè)詞也獲得排名，和amazon、ToysRUs、沃爾瑪?shù)纫惠^高下：

Tomanthony特意說明，真是個(gè)只有6天的域名，沒有外鏈，內(nèi)容還是采集的。

Tomanthony接下來發(fā)現(xiàn)，xyz.com的GoogleSearchConsole賬號(hào)里顯示，那個(gè)英國(guó)網(wǎng)站被顯示在xyz.com的外鏈中了（人家并沒鏈接過來，估計(jì)完全不知道有這個(gè)事），更嚴(yán)重的是，Tomanthony可以在xyz.com的GoogleSearchConsole賬號(hào)里提交那個(gè)英國(guó)網(wǎng)站的sitemap.xml文件了，不用ping了。Google貌似是把這兩個(gè)本來無關(guān)的網(wǎng)站當(dāng)成一個(gè)或者至少是相關(guān)的了。

Tomanthony也測(cè)試了其它指令，比如noindex（陷害競(jìng)爭(zhēng)對(duì)手于無形啊），rel-canonical，不過都沒管用。Tomanthony也想過測(cè)試其它東西，比如是否xyz.com網(wǎng)站的結(jié)構(gòu)和內(nèi)容要和abc.com一樣呢不一樣到什么程度還能起作用呢

另一個(gè)有意思的地方是，被劫持的網(wǎng)站有可能根本不知道發(fā)生了什么。有些陷害競(jìng)爭(zhēng)對(duì)手的負(fù)面SEO技術(shù)是可以被發(fā)現(xiàn)的，比如給對(duì)手制造大量垃圾鏈接，這個(gè)在多個(gè)工具中是會(huì)被清楚顯示的。Tomanthony發(fā)現(xiàn)的這個(gè)漏洞，被劫持的網(wǎng)站沒辦法發(fā)現(xiàn)是怎么回事。或根本不知道被劫持了，比如這個(gè)案例中的英國(guó)網(wǎng)站，沒有在美國(guó)運(yùn)營(yíng)，所以可能根本不會(huì)去看Google美國(guó)的排名。

2017年9月23號(hào)，Tomanthony提交了這個(gè)bug，經(jīng)過一番來來去去的討論，2018年3月25號(hào)，Google確認(rèn)bug已經(jīng)修正，并同意Tomanthony發(fā)布博客帖子。

searchengineland的文章還有大段文字介紹Tomanthony的心路歷程，為什么不把這個(gè)漏洞留著自己用，而是提交給Google與潛在的流量和利益相比，1千多美金的獎(jiǎng)金什么都不是。情懷啊。感興趣的可以深入讀一下。

最后，Google對(duì)這個(gè)漏洞的評(píng)論是，“這個(gè)漏洞一經(jīng)發(fā)現(xiàn)，他們就組織各相關(guān)團(tuán)隊(duì)解決了。這是個(gè)新發(fā)現(xiàn)的漏洞，相信還沒有被利用過。”

文章名稱：利用Sitemap提交漏洞劫持其它網(wǎng)站排名
轉(zhuǎn)載源于：http://www.js-pz168.com/news41/123141.html

網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián)，是專注品牌與效果的網(wǎng)站制作，網(wǎng)絡(luò)營(yíng)銷seo公司；服務(wù)項(xiàng)目有網(wǎng)站排名等

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)