הוסטס - פורום אחסון האתרים הגדול בישראל

- קידום ושיווק אתרים (https://hosts.co.il/forums/forumdisplay.php?f=52)

- - ניצול XSS לשם קידום (https://hosts.co.il/forums/showthread.php?t=59958)

ניצול XSS לשם קידום

XSS/CSS - Cross site scripting
למי שלא יודע זה באג אבטחה מאוד נפוץ.
הוא מאפשר "לתוקף" להכניס קוד HTML/JS (או כל קוד אחר שרץ על הלקוח) למעטפת האתר.
למשל ניצול של XSS בתפוז -

קוד:

http://www.tapuz.co.il/search/search.asp?q=</title><h1>xss</h1>

אז איך כל זה מתקשר לקידום אתרים?
פשוט מאוד - במידה ונכניס למעטפת האתר קוד HTML שיוצר לינק לאתר שלנו,
נרוויח קישור מאתר כמו תפוז.
למשל אם אני יכניס קישור באתר שלי לקוד הבא -

קוד:

http://www.tapuz.co.il/search/search.asp?q=</title><a href="http://www.thereisnosite.co.il/">Google Seo</a>

התוצאה תיהיה קישור ל http://www.thereisnosite.co.il מתפוז.

עוד דבר נחמד רק שלא ממש קשור ל XSS זה החיפושים של Google באתרים שונים.
כמו למשל זה שנמצא באתר icq.com -

קוד:

http://www.icq.com/search/

אם נשתיל קישור כזה באתר שלנו -

קוד:

http://www.icq.com/search/results.php?q=site:www.petnet.co.il

בעצם נרוויח קישור מ icq.com ל petnet.co.il (החליפו בכתובת שלכם...)

למידע נוסף על XSS

קרדיט לגרג (KGen) שחשב על הרעיון.

אהבתי, אבל לדעתי ירחיקו אותך עוד כמה שעות כי זה קשור להאקינג.

כמובן, בגלל זה באתר שאני מפתח כרגע לדוגמא הצבתי הגנות כנגד XSS מכל הסוגים שאני מכיר \ קראתי.

רגע, אבל גוגל לא מתייחס לעמודים שדברים כמו זה - id= או search=

דבר אחד ששכחת, צריך לאנדקס את הקישור הזה על מנת שגוגל יבקר בו, קישור אחד או אפילו כמה לאותו עמוד לא יחזקו אותו (אפילו שהוא תחת הדומיין של תפוז)

התיחסתי לזה שכתבתי "אם נשתיל קישור כזה באתר שלנו", כניראה שזה לא היה מספיק ברור.

אוי סליחה, באמת נשמע יותר הגיוני....