我個人雖然不建議做黑帽SEO，但了解一些黑帽技術(shù)是白帽SEO的必修課。SEO黑帽的常見技術(shù)和最新應用至少可以讓我們：

創(chuàng)新互聯(lián)公司專注于企業(yè)成都全網(wǎng)營銷、網(wǎng)站重做改版、梁河網(wǎng)站定制設計、自適應品牌網(wǎng)站建設、成都h5網(wǎng)站建設、電子商務商城網(wǎng)站建設、集團公司官網(wǎng)建設、外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應式網(wǎng)頁設計等建站業(yè)務，價格優(yōu)惠性價比高，為梁河等各大城市提供網(wǎng)站開發(fā)制作服務。

在不能失誤的正規(guī)網(wǎng)站上避免黑帽的坑

多渠道、深入理解搜索引擎的工作原理

幫助了解搜索排名算法的極限在哪里

從聰明的黑帽SEO技巧中發(fā)展白帽技巧

對國內(nèi)黑帽SEO應用廣泛的賭博、色情等網(wǎng)站和排名也做過一些研究，與相關公司也有些接觸，對這個行業(yè)的利潤之大、團隊規(guī)模之大、探索及應用之深入等是很欽佩的。不過總體上說，國內(nèi)黑帽SEO的做法偏向傳統(tǒng)，更多是對搜索算法的某些已知漏洞或參數(shù)的極端、大規(guī)模利用。國外一些黑帽對SEO的探索則更出人意料，腦洞更清奇。

前幾天看到一個可以用于黑帽SEO的例子，利用Google Search Console的XML Sitemap提交漏洞，劫持其它人網(wǎng)站原有排名?？赐旰蟾杏X，還有這種操作?一些人真的思路非常活躍，貌似也有時間，在不停地探索著各種可能性。好在這個漏洞沒有真正用于黑帽SEO，而是在Google的漏洞舉報獎勵計劃中提交的，發(fā)現(xiàn)者Tom Anthony因此獲得1337美元獎金。http://www.rwnh.cn

Tom Anthony不是一般的IT安全人員，顯然是干SEO的，而且是英國著名SEO公司Distilled產(chǎn)品研發(fā)部門的頭。Tom Anthony在他的博客帖子里詳細介紹了這個漏洞的用法。

簡單說，Tom Anthony通過自己的網(wǎng)站，用ping的機制向Google提交XML版Sitemap(里面包含索引指令，比如這個例子中利用的hreflang標簽)，由于Google及其它網(wǎng)站的漏洞，Google誤以為這個Sitemap是另一個網(wǎng)站的Sitemap，從而使Tom Anthony的網(wǎng)站快速索引，并且劫持了那個網(wǎng)站的排名。

Google允許幾種方式提交sitemap.xml:

在robots.txt文件中指定sitemap.xml的位置

在 Google Search Console后臺提交

把sitemap.xml的位置ping給Google

第3種ping的方式就是向Google的這個URL發(fā)get請求：

http://google.com/ping?sitemap=http://www.example.com/sitemap.xml

其中，http://www.example.com/sitemap.xml就是要提交的sitemap.xml的文件。Tom Anthony發(fā)現(xiàn)，無論新舊網(wǎng)站，Google收到這個請求后10多秒鐘就會過來抓取sitemap.xml文件。

接下來還要利用某些網(wǎng)站的open redirect漏洞，也就是完全開放的可以指向其它網(wǎng)站的轉(zhuǎn)向。一些網(wǎng)站可以通過URL中的參數(shù)控制轉(zhuǎn)向，比如登錄后用戶被轉(zhuǎn)向到某個指定地址：

http://www.abc.com/login?continue=/page.html

也就是abc這個網(wǎng)站用戶登錄后被轉(zhuǎn)向到page.html頁面，繼續(xù)正常訪問。通常，page.html這個頁面應該是abc.com這個域名上的。但有些網(wǎng)站的程序不大安全，可以轉(zhuǎn)向到其它網(wǎng)站，如：

http://www.abc.com/login?continue=xyz.com/page.html

用戶登錄完，被轉(zhuǎn)向到另一個網(wǎng)站xyz.com上去了。而且也不一定需要真的登錄，只要訪問這個URL，可以是login?，也可以是logout?，或者其它什么script.php?，就被轉(zhuǎn)向了。

這就是開放的轉(zhuǎn)向。這種開放轉(zhuǎn)向還挺常見的，包括大網(wǎng)站。

Tom Anthony注冊了一個新域名xyz.com，然后利用這兩個漏洞，通過ping向Google提交這樣的sitemap.xml:

http://google.com/ping?sitemap=http://www.abc.com/login?continue=xyz.com/sitemap.xml

xyz.com是他自己的新注冊的域名，abc.com是某支持開放轉(zhuǎn)向的、有很好搜索流量的、別人的網(wǎng)站。顯然，sitemap.xml文件是放在 xyz.com上的，但Google把這個文件當成是abc.com的sitemap文件(轉(zhuǎn)向前的域名)。這樣，黑帽SEO可以控制其它人的網(wǎng)站sitemap文件，并利用某些指令劫持權(quán)重、排名、流量。

Tom Anthony做了很多測試，其中成功的是hreflang指令。他選了一個英國的零售商網(wǎng)站(作為上面例子中的abc.com域名)，為了保護對方，并沒有說是哪個網(wǎng)站，在自己的xyz.com域名上采集了對方網(wǎng)站，包括結(jié)構(gòu)和內(nèi)容，只修改了地址、貨幣之類的信息。然后在xyz.com域名放上sitemap.xml文件，里面列出那個英國網(wǎng)站的URL，但每個URL加上了多語言網(wǎng)站需要用的hreflang指令，通知Google，這個英國網(wǎng)站頁面對應的美國版本在xyz.com上。最后，如前面說的，用ping的機制提交xyz.com上的sitemap.xml文件，但Google卻誤以為是英國網(wǎng)站abc.com的合法sitemap.xml文件。

結(jié)果是，Google傳遞了英國網(wǎng)站的權(quán)重到xyz.com域名上。Tom Anthony這里說的不是很明確，但我理解，是在美國Google.com上獲得了那個英國網(wǎng)站在Google.co.uk上應有的權(quán)重和排名。

48小時內(nèi)，新域名就開始被索引，并獲得一些長尾詞的排名：

在過幾天，重要的商業(yè)詞也獲得排名，和Amazon、Toys R Us、沃爾瑪?shù)纫惠^高下：

Tom Anthony特意說明，真是個只有6天的域名，沒有外鏈，內(nèi)容還是采集的。

Tom Anthony接下來發(fā)現(xiàn)，xyz.com的Google Search Console賬號里顯示，那個英國網(wǎng)站被顯示在xyz.com的外鏈中了(人家并沒鏈接過來，估計完全不知道有這個事)，更嚴重的是，Tom Anthony可以在xyz.com的Google Search Console賬號里提交那個英國網(wǎng)站的sitemap.xml文件了，不用ping了。Google貌似是把這兩個本來無關的網(wǎng)站當成一個或者至少是相關的了。

Tom Anthony也測試了其它指令，比如noindex(陷害競爭對手于無形啊)，rel-canonical，不過都沒管用。Tom Anthony也想過測試其它東西，比如是否xyz.com網(wǎng)站的結(jié)構(gòu)和內(nèi)容要和abc.com一樣呢?不一樣到什么程度還能起作用呢?

另一個有意思的地方是，被劫持的網(wǎng)站有可能根本不知道發(fā)生了什么。有些陷害競爭對手的負面SEO技術(shù)是可以被發(fā)現(xiàn)的，比如給對手制造大量垃圾鏈接，這個在多個工具中是會被清楚顯示的。Tom Anthony發(fā)現(xiàn)的這個漏洞，被劫持的網(wǎng)站沒辦法發(fā)現(xiàn)是怎么回事?；蚋静恢辣唤俪至耍热邕@個案例中的英國網(wǎng)站，沒有在美國運營，所以可能根本不會去看Google美國的排名。

2017年9月23號，Tom Anthony提交了這個bug，經(jīng)過一番來來去去的討論，2018年3月25號，Google確認bug已經(jīng)修正，并同意Tom Anthony發(fā)布博客帖子。

searchengineland的文章還有大段文字介紹Tom Anthony的心路歷程，為什么不把這個漏洞留著自己用，而是提交給Google?與潛在的流量和利益相比，1千多美金的獎金什么都不是。情懷啊。感興趣的可以深入讀一下。

最后，Google對這個漏洞的評論是，“這個漏洞一經(jīng)發(fā)現(xiàn)，他們就組織各相關團隊解決了。這是個新發(fā)現(xiàn)的漏洞，相信還沒有被利用過。”

標題名稱：Sitemap提交漏洞的運用
鏈接地址：http://www.rwnh.cn/article40/dghioho.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供搜索引擎優(yōu)化、自適應網(wǎng)站、網(wǎng)站營銷、軟件開發(fā)、網(wǎng)站排名、App設計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)