一个简单的脚本可更改浏览器中“后退”按钮的行为并替换原始搜索结果,从而将用户引导至受黑客控制的竞争对手网站的副本一种常见的模式:打开Google搜索页面,然后在搜索结果中单击不同的结果以查找所需的信息。 您可以打开数十个单独的选项卡,或依次转到每个站点,然后返回搜索结果(浏览器中的“
后退”按钮)。 澳大利亚公司Dejan Marketing的搜索引擎优化专家Dan Petrovich提出了如何利用这种模式来谋取自己的利益,并获得访问竞争对手网站的大量统计信息,从而使他们失去了访问量。
该图如上图所示。 通过拦截竞争对手的流量,专家可以获得机会:
- 生成其他人站点的热图(点击,过渡,滚动深度)
- 记录真实的会话(鼠标移动,键盘按键)
- 从填写好的表格中接收所有文本,包括订购商品的表格
当然,丹·彼得罗维奇(Dan Petrovich)没有做任何上述事情,因为这显然是违反法律的。 研究竞争对手网站的另一种方法可能是违反法律,没有伪造搜索结果,不使用他人网站的通常克隆方法,以及通过社交媒体购买流量等。
浏览器中的错误仍未关闭,因此其他攻击者也可以使用此方法:利用此漏洞的JavaScript代码已在公共领域发布。 实际上,这样的脚本很容易编写,因为您知道了
history.pushState()方法的功能,并考虑了引荐来源,从而更改了浏览器的历史记录。
丹·彼得罗维奇(Dan Petrovich)提请注意以下事实:他
于2012年11月首次使用此技巧。 然后,而不是关闭漏洞,Google手动
将其页面降低到搜索结果中 (单击“
后退”按钮从该页面重定向到伪造的搜索结果)。 既然他已经重新演示了这种方法,那么Google会做得更加努力。 在Search Console中没有任何通知的情况下,他的
网站已从整个搜索索引中删除 。
黑客承认,在信息安全社区中,习惯于以不同的方式处理发现的漏洞。 他们首先被报告给开发人员,并且正在等待错误修复,并且只有在他们被告知有关事实之后。 专业的测试
人员向作者详细解释了他应该如何以安全的方式证明此漏洞。 但是彼得罗维奇的行为有所不同-他在实际网站上展示了该计划,并立即告诉所有人。 此外,即使没有真正的用户监视,对于这种黑客的合法性也存在极大的怀疑,即创建其他人网站的假副本并将用户重定向到那里的合法性。 但是多年来,没有竞争对手像谷歌那样提起诉讼(谷歌也受到假搜索结果的影响)。 这是一个完整的网络钓鱼,尽管只是出于演示目的,并且没有恶意。 也就是说,SEO专家的行为的道德观念受到质疑。
但是事实仍然存在:多年来,浏览器中的“
后退”按钮仍然容易受到操纵。 根据Petrovich所说,其他站点也使用这种技术来跟踪竞争对手站点上的访问者。 他认为Google不应将自己的网站排除在搜索索引之外,而应采取多种措施使这一老把戏不再起作用:
- 消除了在Chrome中操作“ 后退”按钮的功能。
- 自动降低使用此技巧的网站的发布次数(而不是仅手动对他进行个人罚款)。 目前,Google尚未注意到这些脚本:Petrovich的实验五年未引起注意,他的网站在搜索结果中排名很高。
- 使用
history.pushState()标记页面,并将搜索结果欺骗为“危险”。
带有组织特定(OV)和高级验证(EV)
证书的SSL证书可以部分地防止此类网络钓鱼,但这仍然不是用户不小心的灵丹妙药。
丹·彼得罗维奇(Dan Petrovich)的实验表明,现在大约有50%的用户在将他们重定向到虚假搜索结果然后重定向到本地域中另一个站点的副本时,并未发现任何可疑的内容。 许多用户不会检查谁拥有证书,也不会阅读URL-他们很高兴浏览器具有安全的连接图标,尽管它是颁发给其他人的域的。 攻击者早就发现
安全连接图标可以增加对网络钓鱼站点的信任 。
可以采取许多措施来解决此问题,例如:
- 需要用户确认才能应用
history.pushState和History#replaceState 。 - 与Firefox一样,在Chrome地址栏中突出显示URL中最重要的部分。
- 不要将HTTPS站点标记为“安全”,因为它会误导用户并产生错误的安全感。
- 如果返回的地址与上一页不同,请更改“ 后退”按钮的图标。
