漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-013754
漏洞标题:百度等搜索引擎蜘蛛被不法产业劫持
相关厂商:百度
漏洞作者: 老道
提交时间:2012-10-22 20:37
修复时间:2012-12-06 20:37
公开时间:2012-12-06 20:37
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-10-22: 细节已通知厂商并且等待厂商处理中
2012-10-23: 厂商已经确认,细节仅向厂商公开
2012-11-02: 细节向核心白帽子及相关领域专家公开
2012-11-12: 细节向普通白帽子公开
2012-11-22: 细节向实习白帽子公开
2012-12-06: 细节向公众公开
简要描述:
对百度等搜索引擎蜘蛛劫持的黑色产业链已经开始泛滥
详细说明:
目前,随着国家对网上不法产业网站(私服,赌博,色情等)的打击,这类网站通过直接的搜索优化(seo)已经很难再被搜索引擎收录,因此这类网站转而开始与黑客进行合作,通过劫持高PR的政府站,教育站来获取流量。
其手法主要是通过黑客入侵高pr的政府网站,在其入侵的网站中加入劫持代码,来劫持百度等搜索引擎蜘蛛,致使百度等搜索引擎所收录的快照非原网站,而是不法分子的网站,从而使搜索者搜索某些非法关键字时,可以出现被入侵网站。并且让通过搜索结果点击进入网站时,可以跳转到其所希望的非法网站上。
具体案例:
示例1 百度搜索:香港六合彩
如果你觉得只要被劫持的网站都会被百度提示:该网站已被入侵,你就错了。
示例2 百度搜索:汽枪
漏洞证明:
漏洞证明?上面已经说了,既然要证明,那就再说几个。。。。
百度搜索:重庆时时彩
百度搜索:456游戏大厅
更多的大家可以自己搜索下
修复方案:
可以看出,百度在对网站的劫持检测上已经做了一些努力,部分劫持网站已经开始提示网站被劫持,但据我的测试,目前百度的劫持提示仅占到被劫持网站的不到百分之一,因此,既然百度已经开始做这方面工作,那么希望你们可以尽全力去做,在完善关键词黑名单机制的同时,可以根据被劫持网站多为政府站,教育站的特点,对此类网站进行更加细致的检查,当然,还有很多方法,就看你们想不想做了。。。。
版权声明:转载请注明来源 老道@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2012-10-23 11:54
厂商回复:
感谢你的反馈,我们一直在努力解决这个问题。
最新状态:
暂无