ניצול XSS לשם קידום

[shir]

XSS/CSS - Cross site scripting
למי שלא יודע זה באג אבטחה מאוד נפוץ.
הוא מאפשר "לתוקף" להכניס קוד HTML/JS (או כל קוד אחר שרץ על הלקוח) למעטפת האתר.
למשל ניצול של XSS בתפוז -

קוד:

http://www.tapuz.co.il/search/search.asp?q=</title><h1>xss</h1>

אז איך כל זה מתקשר לקידום אתרים?
פשוט מאוד - במידה ונכניס למעטפת האתר קוד HTML שיוצר לינק לאתר שלנו,
נרוויח קישור מאתר כמו תפוז.
למשל אם אני יכניס קישור באתר שלי לקוד הבא -

קוד:

http://www.tapuz.co.il/search/search.asp?q=</title><a href="http://www.thereisnosite.co.il/">Google Seo</a>

התוצאה תיהיה קישור ל http://www.thereisnosite.co.il מתפוז.

עוד דבר נחמד רק שלא ממש קשור ל XSS זה החיפושים של Google באתרים שונים.
כמו למשל זה שנמצא באתר icq.com -

קוד:

http://www.icq.com/search/

אם נשתיל קישור כזה באתר שלנו -

קוד:

http://www.icq.com/search/results.php?q=site:www.petnet.co.il

בעצם נרוויח קישור מ icq.com ל petnet.co.il (החליפו בכתובת שלכם...)

למידע נוסף על XSS

קרדיט לגרג (KGen) שחשב על הרעיון.