【刷排名网】用Sitemap来劫持网站排名！

　　【sitemap网站地图】利用有道昏君Sitemap提交漏洞劫持其它网站排名

　　雪无痕SEO个人虽然不建议做黑帽SEO，但了解一些黑帽技术是白帽SEO的必修课。SEO黑帽的常用技术和最新应用至少可以让我们：

　　避免在不准确的常规网站上出现黑帽坑

　　多渠道，深入了解搜索引擎的工作方式

　　帮助理解搜索排序算法的局限性

　　从智能黑帽SEO技能发展白帽技能

　　我们还对中国黑帽SEO中广泛使用的赌博、色情等网站和排名进行了研究。刷排名网我们也与相关公司有一些联系。我们钦佩这个行业的利润、团队规模、探索和应用。然而，一般而言，国内黑帽搜索算法的实践偏向传统，是对某些已知的漏洞或搜索算法参数的极端和大规模的使用。国外一些黑帽对SEO的探索出人意料，脑洞很清奇。

　　前几天看到一个可以用于黑帽SEO的例子，利用GoogleSearchConsole的XMLSitemap提交漏洞，劫持其它人网站原有排名。看了之后，感觉这一切还在发生?有些人非常活跃，似乎有时间探索各种可能性。幸运的是，这个漏洞并没有真正用于seo的黑帽子，而是提交在谷歌的漏洞报告奖励计划。因此，发现者Tom Anthony得到了1337美元的奖金。

　　"Tom Anthony"不是一个普通的it安全官员。它显然是seo，是著名的英国seo公司istilled产品开发部门的负责人。Tom Anthony在他的博客文章中详细介绍了这个漏洞的使用。

　　简单说，Tom Anthony通过自己的网站，用ping的机制向Google提交XML版Sitemap(里面包含索引指令，比如这个例子中利用的hreflang标签)，由于Google及其它网站的漏洞，Google误以为这个Sitemap是另一个网站的Sitemap，从而使Tom Anthony的网站快速索引，并且劫持了那个网站的排名。

　　谷歌允许通过多种方式提交网站地图。xml:

　　在robots.txt文件中指定sitemap.Xml位置

　　在 Google Search Console后台提交

　　什么是sitemap.xml的位置ping给Google

　　第 3 种ping的方式就是向Google的这个URL发get请求：

　　Sitemap: http://www.example.com/sitemap.xml

　　其中，是要提交的站点地图。xml文件.Tom Anthony发现，无论新旧网站，谷歌在收到这个请求10多秒后，都会来抢夺网站地图。xml文件。

　　下一步是利用一些站点的开放重定向漏洞，它是完全开放的，可以指向其他站点。刷排名网有些网站可以通过URL中的参数控制转向，例如用户在登录后被重定向到指定的地址：

　　?continue=/page.html

　　也就是说，登录后，abc的网站用户被重定向到页面。继续正常访问html页面。通常，page.html页面应为abc。使用此域名。但是，某些网站不是很安全，可以重定向到其他网站，例如：

　　?continue=xyz.com/page.html

　　用户登录后，他被转到另一个网站xyz。Com涨了。它不一定是真正的登录。只需访问此URL，是否可以登录?，也可以是logout?或者其他剧本。php?它被翻转了。

　　这是开放的转弯。这个开放的转弯很常见，包括大型网站。

　　Tom Anthony的用户注册了一个新域名xyz。网络，然后利用这两个漏洞，通过ping向谷歌提交了这样一个网站地图。xml:

　　Sitemap: http://www.abc.com/login?continue=xyz.com/sitemap.xml

　　Xyz.com是他自己新注册的域名，abc。com是一个支持开放转弯、良好搜索流量等的网站。　　把sitemap.XML文件放在XYZ中。它在www.com上，但谷歌把这个文件当作ABC。com的网站地图文件(转发域名).这样，黑帽SEO可以控制其它人的网站sitemap文件，黑暗的世界在匆匆而过，风在他耳边响起，并利用某些指令劫持权重、排名、流量。

　　TomAnthony做了很多测试，其中成功的是hreflang指令。他选择了一个英国零售网站(上面例子中的ABC)。com域名)，为了互相保护，不说哪个网站，在自己的xyz中。com域名收集对方的网站，包括结构和内容，只修改地址、货币等信息。然后将站点地图放在xyz.com域名上。XML文件列出了英国网站的URL，但每个URL都添加了多语言网站所需的hreflang指令，以通知谷歌英国网站页面的美国版本在xyz中。COM。最后，如前所述，使用ping机制提交xyz。com/sitemap.XML文件，但谷歌把它误认为是英国的ABC网站。com/sitemap.xml文件。

　　结果是，Google传递了英国网站的权重到xyz.com域名上。COM域名。“这里不是很清楚，但我明白，是在美国谷歌。刷排名网这家英国网站是在google.com上收购的。co.uk的体重和排名。

　　在48小时内，新域名被索引并获得一些长尾：

　　

转载请注明: 爱推站 » 【刷排名网】用Sitemap来劫持网站排名！