ניצול XSS לשם קידום

[shir]

XSS/CSS - Cross site scripting
למי שלא יודע זה באג אבטחה מאוד נפוץ.
הוא מאפשר "לתוקף" להכניס קוד HTML/JS (או כל קוד אחר שרץ על הלקוח) למעטפת האתר.
למשל ניצול של XSS בתפוז -

קוד:

http://www.tapuz.co.il/search/search.asp?q=</title><h1>xss</h1>

אז איך כל זה מתקשר לקידום אתרים?
פשוט מאוד - במידה ונכניס למעטפת האתר קוד HTML שיוצר לינק לאתר שלנו,
נרוויח קישור מאתר כמו תפוז.
למשל אם אני יכניס קישור באתר שלי לקוד הבא -

קוד:

http://www.tapuz.co.il/search/search.asp?q=</title><a href="http://www.thereisnosite.co.il/">Google Seo</a>

התוצאה תיהיה קישור ל http://www.thereisnosite.co.il מתפוז.

עוד דבר נחמד רק שלא ממש קשור ל XSS זה החיפושים של Google באתרים שונים.
כמו למשל זה שנמצא באתר icq.com -

קוד:

http://www.icq.com/search/

אם נשתיל קישור כזה באתר שלנו -

קוד:

http://www.icq.com/search/results.php?q=site:www.petnet.co.il

בעצם נרוויח קישור מ icq.com ל petnet.co.il (החליפו בכתובת שלכם...)

למידע נוסף על XSS

קרדיט לגרג (KGen) שחשב על הרעיון.

[uploa]

אהבתי, אבל לדעתי ירחיקו אותך עוד כמה שעות כי זה קשור להאקינג.

[Dennis Ray]

כמובן, בגלל זה באתר שאני מפתח כרגע לדוגמא הצבתי הגנות כנגד XSS מכל הסוגים שאני מכיר \ קראתי.

[uploa]

רגע, אבל גוגל לא מתייחס לעמודים שדברים כמו זה - id= או search=

[x-ray]

דבר אחד ששכחת, צריך לאנדקס את הקישור הזה על מנת שגוגל יבקר בו, קישור אחד או אפילו כמה לאותו עמוד לא יחזקו אותו (אפילו שהוא תחת הדומיין של תפוז)

[shir]

התיחסתי לזה שכתבתי "אם נשתיל קישור כזה באתר שלנו", כניראה שזה לא היה מספיק ברור.

[uploa]

אוי סליחה, באמת נשמע יותר הגיוני....