开发人员必须考虑的一个常见安全漏洞是跨站点脚本（XSS）问题，通过使用在GET和POST请求中测试变量值的清理过程，可以减轻或防御XSS漏洞利用。服务器端攻击也存在，但远远超出了这里的范围，显然，Googlebot和索引目前受此漏洞的影响。

网络钓鱼Googlebot？
虽然XSS攻击可以用来破坏或破坏网站，但它也是一种网络钓鱼方法。攻击者会制作恶意链接，并向用户发送一封电子邮件，其中包含指向易受XSS漏洞攻击的网站的链接。当用户单击恶意链接时，脚本会在页面加载时运行。较新版本的Chrome对网址进行XSS Auditor完整性检查，否则可能会欺骗用户。

不幸的是，Googlebot目前正在运行Chrome 41，这是没有XSS Auditor的浏览器的早期版本。这是否意味着Googlebot容易受到网络钓鱼式网址的攻击？攻击者可能会注入恶意SEO攻击脚本？对谷歌而言，攻击者可能会使用JavaScript将元素注入DOM，例如反向链接，更糟糕的是，操纵规范。

XSS Googlebot漏洞利用
这次攻击的概念验证（PoC）由SEO（和安全研究员）Tom Anthony描述攻击方法的成功，包括Google Search Console的URL检查工具的证据截图，显示由于有效负载而修改的源代码。请记住，以这种方式运行恶意脚本有可能完全重写页面以进行索引。

Tom描述了已经采取适当的漏洞披露步骤，列出了他与Google沟通的时间表，并描述了回复。在这个阶段，汤姆的披露是一个不确定的前景，因为这个漏洞可以想象仍然在野外，尽管谷歌在三月告诉他，它有“安全机制”。安全研究人员有时会发布0day（未修补）的漏洞，以促使公司采取行动。

谷歌的回应
Tom指出，人们看到Googlebot有待处理升级的证据，可能包括XSS Auditor URL过滤器。一旦Googlebot升级到使用XSS Auditor的较新Chrome实例，此攻击将不再有效。与此同时，谷歌可以设想索引和发布SERP中的恶意链接，不知情的Firefox用户（目前没有自己的XSS审核员）可以想象点击并获取网络钓鱼。

我们收到了谷歌的以下声明：“我们感谢研究人员提请我们注意这个问题。我们已经调查过，没有发现任何证据表明这种情况被滥用，我们仍然保持警惕，以保护我们的系统并进行改进。“

使用XSS技术的漏洞利用非常普遍，可以想象它正在某个地方发生。同时可信的是除了研究人员之外没有人尝试过它。

如何防范XSS攻击
为了防止最常见的攻击，您需要确保没有恶意代码（Javascript，PHP，SQL等）通过您的应用程序处理。使用内置的值期望值，例如保证每个请求只存在确切的数字和正确命名的变量集。您还应编码数据类型限制以在继续之前测试传入值。

例如，如果您的应用程序需要一个数字，那么它应该抛出异常，重定向，并且如果它获取字符串值作为错误请求的一部分，则可能暂时将IP地址列入黑名单。麻烦的是，有很多相当受欢迎的网站容易受到这种攻击，因为他们不采取这样的步骤。攻击者选择修改请求变量值以寻找漏洞利用机会的应用程序是相当普遍的。

Google针对XSS攻击的提议之一将上述数据类型完整性测试与HTTP响应标头级别一起调用：可信类型。虽然尚未广泛采用，但受信任的类型最终可能成为保护页面的重要策略。但是，此漏洞目前尚未修补，这就是为什么发布0day的原因，谷歌很容易受到这种攻击。

以上文章由浩维整营销摘抄自互联网，如侵请联系本站进行删除！