世界盃的狂歡也是黑灰產的狂歡？

如下來自阿里巴巴集團安所有的高級安全專家 匯豐 的解讀：

 

4年一屆世界盃正在如火如荼的進行，等了4年，誰都不想輕易的放過這一個月的狂歡，除了買票去現場感覺足球氛圍之外，大部分人都會去預測每場比賽的結果，毋庸置疑各類博彩和競猜app是世界盃月裏面安裝量增加最快的應用。

 

今天咱們不討論世界盃誰能奪冠，也不討論博彩和比賽競猜的玩法，咱們先從廣告開始看下相關的黑灰產如何突破重重阻礙把廣告打到你臉上，再談談一些看似低危的漏洞若是用在黑灰產中會帶來多少危害。討論的內容有點敏感，仍是那句話，技術是把雙刃劍，但願你們看到的是兩面，可是隻用一面。文章中大部分的漏洞自己就是在修復範圍內的漏洞，只不過站在不一樣的角度能看到不一樣的利用價值或者說危害程度，有些漏洞對公司無害或者沒什麼危害不表明他的社會危害低，就像電信詐騙同樣，公司泄露的是數據，但從單個case來講排除部分大公司的賠償，基本都是須要用戶本身買單。

 

流量是全部互聯網公司最看重的，只要有流量就能變現。流量這塊中很重要的就是三方搜索引擎的流量來源，也就是咱們經常使用的谷歌、百度、神馬等，另外就是基於搜索引擎的各類黑、白帽seo技術。咱們知道搜索引擎抓取網頁之後在創建排名的時候主要以title關鍵詞建索引而後根據必定的算法創建排名，排名算法中特別重要的是看網站的權重，若是是權重高的網站關鍵詞也相應排名比較靠前。因此從這個角度來看主要有兩個條件，一個是title可控，一個是網站自己的權重，因此基於這兩個條件咱們來看下黑灰產是怎麼玩轉一些雞肋漏洞的。

 

場景1、搜索

 

內部搜索是如今各網站或者服務的標配，不少搜索結果的聚合頁面都會把咱們搜索的關鍵詞放到title當中，至關於用戶可自定義title，而後把整個搜索連接想辦法讓搜索引擎收錄，由於網站自己的權重較高，因此這種的連接有時能得到較好的排名。這是利用這點黑灰產就能夠免費打廣告了，並且這種方法成本很是低，經過一個腳本能夠生成無數這種網頁，以下列舉一些截圖:

 

 

 

 

場景2、我的主頁

 

基於搜索的場景搜索引擎很好封堵，搜索引擎應該也會逐漸識別，處理規則能夠相似反射型xss，當url中的關鍵字在title中出現就不收錄，因此之後估計會愈來愈少愈來愈難，可是基於我的主頁的場景應該會長期存在，須要作內容關鍵字識別及時封堵。

 

以下圖是1688的我的主頁：

>>>>閱讀全文