信息安全专家Wietze Beukema在Google搜索结果的形成过程中发现了一个相当简单的逻辑漏洞,可以操纵结果。 尽管漏洞很简单,但使用它的后果可能非常严重。
只需在uri中添加参数,即可替换所谓的 按需生成搜索结果时的知识图。
知识图谱是Google用于从各种来源收集的语义搜索信息来提高其搜索引擎质量的一种语义技术和知识库。 知识图除了提供指向其他站点的链接列表之外,还提供有关主题的结构化详细信息。
目标是用户可以使用此信息来解决他们的查询,而不必去其他站点并自行收集信息。
创建图时,可以通过短URL形式共享其结果,该URL包含负责显示知识图的kgmid参数和负责知识图优先级的kponly参数。
单击短URL后,链接将转换,您可以获取必要的kgmid参数:
此外,获得的参数可用于生成伪造的输出:
https://www.google.com/search?q=cake&kgmid=/m/07s4h8h&kponly
要屏蔽uri,您可以使用goo.gl:https://goo.gl/5FK7Na
攻击者可以使用这些操作来创建虚假信息,虚假新闻,填充等。
UPD:01/11/2019 漏洞已关闭 。