说明:
这首先是基于xss漏洞的。
xss简单的说就是用户向网页插入内容。内容是恶意构造的脚本就可能造成危害。如果是一般的字符则只是影响用户体验,也没什么。不过这样的鸡肋xss(存储型的xss更给力),有个利用就是帮助自己进行seo关键字。作为站长有些词对自己很重要,比方对我们站,tmxk、天马行空、开源等个词语就很重要,怎样让别人搜这些词语的时候百度的前面出现的是我们,就是我要考虑的问题。
利用:
因为利用的是百度自己的二级域名,所以百度把每次搜索快照的概率是很大的。
通过随机关键字组合的方式来刷新这两个地址,模拟用户搜索:
利用百度的关键字seo优化
演示:http://rcoder.sinaapp.com/seo.htm
效果:http://www.baidu.com/s?wd=tmxk.org
转自:http://zone.wooyun.org/content/384
相关评论:
xsser (十根阳具有长短,世上人多心不齐) | 2012-06-11 18:50
百度seo的原理是足够多pr较高的网站给你进行了投票,这个pr足够多的网站是通过蜘蛛遍历所有的网站来筛选的,蜘蛛主要是对页面的html进行解析来进行识别的,那么主要会有如下几个问题:
1 http://rcoder.sinaapp.com/seo.htm如何推到百度的蜘蛛前,即使你有百度域名的xss,如果利用这个推广到蜘蛛前面依然是最大的难题,典型的方式是hack掉足够多的站点,但是很明显,那个跟你说的这个毫无关系,你这个不是重点
2 蜘蛛识别的html里主要是对超链进行的判断,你动态create出来的iframe我不知道蜘蛛识别不识别,另外iframe我记得百度是不会判断投票的
3 你提到的演示和你的效果没什么因果关系,你的效果只是说明你的站点在百度网页里足够唯一了,你换个关键词就会发现不是那么个问题了
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2012-06-12 08:59
玩烂了的东西,而且早已经有比这更高级的了,这个实在不值一提,鸡肋……
利用xss的seo优化(2)
这个主要是回答xsser的几点答复的。
★ xsser首先说爬虫怎么知道我的这个页面,这个http://rcoder.sinaapp.com已被收录,我robots.txt没设置,下面的子页面蜘蛛当然就会去爬的,即便是一个新域名,我提交一下就可以了http://www.ipdizi.com/search/search.html。
★ 说我的iframe是动态创建的,而iframe百度不感冒。而事实上,iframe、embed百度是收录的。
并且我要说的是我的iframe不是链接用的,而是完成一次点击用的,即模拟用户搜索。
★ 关于第三点,我详细说明。
我非持久xss上百个国内高流量站(http://tmxk.org/thread-217-1-1.html),只是纯检测。
我的检测代码是
">'>
结果作为站长,我经常百度tmxk.org,结果后来看到搜索前几页有一些我xss过的页面。
最明显的是,我曾经测试百度地图,发现了一些漏洞,这不是关键,而是百度tmxk.org的第二个竟然是我测试时的快照!是这个:http://dev.baidu.com/wiki/map/index.php?title=tmxk.org。
我意识到我当时的搜索被快照了!
所以我用生成的iframe完成模拟用户搜索,利用大站高pr获得快照。
当iframe很多时,10000?个1*1的iframe指向同一域提交同一get参数就完成了基于xss的ddos。
本人曾经用类似的iframe刷百度贴吧的点击量(http://rcoder.sinaapp.com/s.html),里面上万的帖子都是刷出来的。
相关评论:
xsser (十根阳具有长短,世上人多心不齐) | 2012-06-12 00:29
tmxk.org是一个稀有的关键字,很少有人搜索,所以一个页面或者url带有这个就会在搜索引擎靠前,跟你的xss没有时间关联,换句话说你不xss你弄那么多链接也是一样结果
留言评论(旧系统):
文章来源于lcx.cc:利用xss的seo优化
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论