XSS как способ увеличить показатели сайта: от взлёта до падения

Раздел блога: SEO-приёмы | 31 августа 2008, 13:48

Наверно, ни для кого не секрет, что раньше при помощи XSS веб-мастера, владеющие этой магической технологией, пользовались ею для накрутки статических показателей сайта, в частности, показателя "Яндекса" - тИЦ (Тематического индекса цитирования). "Яндекс" был наиболее подвержен этой уязвимости, чуть позже всё стало на свои места: "дырка" этой поисковой системы была заштопана. Уязвимость существовала до мая 2008 года. Этот пост, скорее, просто несёт в себе ознакомительную функцию, чтобы ввести в суть дела того, как это работало. Не думаю, что методы, описанные здесь, будут работать и сейчас, однако всё же нам, как профессионалам в своей области, нужно знать, что это и зачем применялось.

Как говорит нам вездесущая и всемогущая энциклопедия "Википедия":
"XSS (англ. Сross Site Sсriрting — "межсайтовый скриптинг") — тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве".

Тем не менее, применение этой технологии нашли не только хакеры и сетевые злоумышленники, а также и нечистые на руку «серые» оптимизаторы, обещая баснословные статические показатели для сайта клиента из воздуха.

Как же работал межсайтовый скриптинг XSS в сфере раскрутки сайтов?

А всё достаточно примитивно. Действует всё та же схема. Находится баг движка (Wordpress и другие), сервера (Apache и другие), модуля PHP. Это может быть всё, что угодно, доступное из Интернета в публичном доступе для того, чтобы в конечном итоге привело к индексации искомого документа поисковой системой.

Когда баг найден, начинается «пробой» бажного скрипта. Это делается так, как и при стандартной XSS атаке, т. е. создаётся строка с переменными и параметрами, которая посредством метода GET (через адресную строку браузера) отправляется на незащищённый сервер.

Хотите узнать, как раньше можно было получить ссылку с сайтов, подверженных атаке?

А всё просто. Знаете про баг в функции phpinfo() языка PHP Version 4.2.2? Сейчас я вам расскажу. Один блоггер (к сожалению, не помню его имя, если вы тот, о ком идёт речь, отзовитесь) предоставил нам вариант XSS-атаки на подобный сервер.

Смотрим:

http://***.edu/phpinfo.php?f[]=%3Ch1%3EMy-siteb%3C/h1%3E%3Cbr%3E%3Ca%20href%3Dhttp%3A//My-site.ru%3EMy-Site%3C/a%3E

Видим, что бажные параметры находятся в параметре f[], где и создаётся искомая ссылка на сайт атакующего и задаётся даже анкор (!) ссылки. Были люди, которые насобирали базу из тысяч и десятков тысяч таких вот ссылок, прогоняли по ним свои сайты или сайты клиентов и получали неплохой навар в виде прироста ТИЦ.

Далее ссылки просто "скармливали" поисковым системам. Эти ссылки могли быть на форумах, гостевых книгах, просто на сайтах, на бесплатных хостингах или же купленные через биржи. Неважно, главное, чтобы поисковик мог зайти на тот сайт именно с такими параметрами, какие созданы для атаки сервера при помощи XSS.

Пример игры с параметрами строки браузера может быть и такой (но это уже совсем не XSS, хотя некоторая аналогия всё же прослеживается).

http://www.liveinternet.ru/?example.ru

При таком вот запросе сервер выдаёт страницу с прямой ссылкой example.ru.

Кто страдал от XSS в SEO?

- В первую очередь те, кто покупал подобные прокачанные ссылки, т. е. рядовые оптимизаторы сайтов. Они фактически покупали воздух по сумасшедшим деньгам.
- Конечно же, сам каталог "Яндекса", - ведь там всё же работает сортировка по ТИЦ, а если сайт просто прокачан, то страдает его информационная ценность.
- Люди, закатывающие «прогон» своих собственных сайтов по сайтам, подверженным XSS. Тоже деньги на ветер.

Об XSS, как о технологии, которая круто изменила жизнь как веб-мастера, так и оптимизатора, будут говорить ещё долго. Ведь в свой недолгий век она кого-то сделала вмиг богатым, а кто-то просто вмиг прогорел. Вероятно, XSS войдёт в топовые позиции известных лохотронов Рунета, как поучительный пример того, что нужно быть всегда на чеку, кто бы и что ни говорил. Удачи!

--
Недавно в Интернете нашёл блог «Папы Карло». Зачитался, человек пишет по делу, интересно. Советую почитать о его годовщине работы с Sape.ru.

Перейти в начало страницы

Нравится этот блог?
Подпишитесь на обновления блога (RSS).
Подпишитесь на комментарии (RSS).

Количество комментариев: 67

Климыч:
8 июля, 2008 г. в 8:16 pm
Да, было славное время.. А еще веселее было, когда еще XSS влиял на выдачу, хотя, это бело Яшка очень быстро прикрыл, как не странно. )
kurtizanka:
9 июля, 2008 г. в 12:09 am
Действительно не странно. Зачем он вообще такую возможность давал, не понятно...
каррина:
11 июля, 2008 г. в 6:21 pm
kurtizanka, он и не давал. сначала сами взяли, а он потом забрал обратно. смысл щас про xss писать, забытое старое.
Quas:
12 июля, 2008 г. в 1:44 am
А представьте, сколько бабла потеряли те кто сделал ставку на подъем ТИЦ с помощью этой дырки)
Катенька:
12 июля, 2008 г. в 2:07 am
Даже сейчас одни когорят прокатит другие не прокатит накрутка счетчиков, а помоему так это тупо кого ты обманывашь? а заработать можно и другими способами!
Аккостер:
12 июля, 2008 г. в 2:08 am
многие до сих пор за деньги предлагают увеличить посещаемость в реале просто накручивая счетчик!
ketti83:
12 июля, 2008 г. в 2:16 am
мда....а сколько на этом уже заработано! пока расчехлились - ловкачи быстренько кошельки пополняли
Вова:
13 июля, 2008 г. в 1:45 pm
Да и сейчас этим народу полно занимается, даже портфолио показывают, вот типа такие сайты мы раскрутили, вот смотрите где они висят.
Sergey:
18 июля, 2008 г. в 1:47 pm
Больше всего получили те, кто суетились и прогоны делали, да и продавать успевали паралельно. Жаль конечно денег выброшенных на ветер через биржи. Ну да и ладно, лучше поискать другие дырки и обезопасить себя
Alexander:
23 июля, 2008 г. в 11:57 am
неужели яндекс так долго не мог обнаружить такой баг?
Автор блога Виталий:
23 июля, 2008 г. в 3:07 pm
Alexander, просто баг становится багом, когда кто-то о нём начинает писать и активно его эксплуатировать.
Vovovich:
28 июля, 2008 г. в 12:33 pm
А мне кажется, что те, кто стоял на стадии начала использования бага - молодцы.
Припоминаются подобные времена...
SEO маразматик:
28 июля, 2008 г. в 11:10 pm
Ну хорошо, что сейчас этот способ умер.
Гламурный Оптимизатор:
30 июля, 2008 г. в 2:24 pm
Quas, много бабла потеряли...
Gronf:
1 августа, 2008 г. в 4:00 am
Да меня чуть не развели с этим хотел сотни сайтов понаклепать, хотя точнее как не развели тем кто собирался делать я денег не дал по причине того что обули в другом месте, вот так и живем
alex:
2 августа, 2008 г. в 1:38 pm
Ну конечно, раньше и саповци с этой темы не плохо жили.
pavellift:
12 августа, 2008 г. в 10:50 am
Эх, были ведь старые добрые времена
redicka:
6 сентября, 2008 г. в 1:13 am
Быстрая накрутка ТИЦ при помощи статистик Webalizer . Вообщем юзайте все кто не вкурсе :
http://yandex.ru/yandsearch?text=%22%D0%A1%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B0+%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F+%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0%22%22%D1%81%D1%81%D1%8B%D0%BB%D0%B0%D1%8E%D1%89%D0%B8%D1%85%D1%81%D1%8F+%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%22

http://yandex.ru/yandsearch?text=%22Usage+Statistics+for%22

referer-спам уже мертв везде , но для накрутки ТИЦ самое мощное оружие нынче

p.s. проверил свою статистику спамят сотнями и тиц у всех как на подбор от 300 до 3000 ...

Анализируйте сайты и не орите что не работает(для тех кто этим живет) !!!

пример split-sys.ru тиц 2800 пиар 0
SKL:
8 сентября, 2008 г. в 10:20 pm
Спалили блять еще одну тему
в сегодняшний пересчет ТИЦ уже не учитываются такие линки
v-v-v-85:
7 октября, 2008 г. в 4:02 am
встречалось что за деньги предлагают увеличить посещаемость в реале просто накручивая счетчик
NoKia:
9 октября, 2008 г. в 11:32 am
vvv, нефик в говноконторы потому что обращаца
Веталь:
12 октября, 2008 г. в 10:08 pm
Ммм...Я только сейчас начал понимать, как важно иметь те самые соцзакладки, вот если бы они у Вас тут отражались, я бы Ваш сайт добавил в свои. А так уже целый полигон в "Избранном", и уже сложно что-то найти. С одной стороны не хочется терять связь с сайтом, но всякие федбернеры и рсс для меня это сложно. Буду краток, прикрутите возможность добавления блога в социалки. Успехов. Еще последнее - добавьте себя Яндекс Каталог, сегодня смотрел там одна лабуда, надо это исправлять новыми блогами.
Илья:
14 октября, 2008 г. в 4:31 pm
ээх...ностальгияяя помню как все рухнуло))стока визгов было
Диман:
16 октября, 2008 г. в 7:27 pm
А шас XSS эфиктивен в поднятии тиц или яндекс его нечует? Говорили что XSS развалилась.
Автор блога Виталий:
16 октября, 2008 г. в 7:34 pm
Диман, да. Сейчас нет смысла работать по этой технологии.
seolamo :):
17 октября, 2008 г. в 3:35 am
Вот тут некоторые говорят, мол "кто-то погорел на этой теме", другие мол "спалили" тему... Не "погорели", а нагрелись в свое время. И не "спалили", а слили тогда, когда тема разошлась по блогам и деньги делаются уже на другом. Причем теми, кто в свое время "нагрелся", а сейчас вот "спалил".
Игорь Абакумов:
19 октября, 2008 г. в 5:56 pm
Да я и сам раньше работал по этой технологии, а теперь не те времена ))
Саша:
20 октября, 2008 г. в 9:09 pm
Эх больная тема... признаюсь... наштамповал сателлитов прогнал тиц поднял.. По ресторанам ходил:) а 21 апреля на следующий день после моего дня рождения все.. подарок от Яндекса...Ща вот делаю СДЛ , а что остается..
Санек:
21 октября, 2008 г. в 4:25 pm
Создание такого блога, как у Вас, конечно, потребовало много времени. Я уже много раз брался за эту работу, даже место покупал для размещения, но вот с популрностью. Ни как получалось, а у Вас как я погляжу, нормально растете от визита к визиту. Ничего, я пока все разузнаю, а потом еще и перегоню Вас по фиду! Успехов, встретимся еще!
designer:
22 октября, 2008 г. в 12:49 pm
Спасибо что сообщил о блоге «Папы Карло». Остался доволен.
Серега:
22 октября, 2008 г. в 12:58 pm
Не судите за оффтоп. Но мой Rss не подхватывает Вашу ленту, я уже и так и так, пишет что запрещенная команда. Приходится лично к Вам в гости заглядывать каждый день, уже прямо как на работу хожу к Вам. Правда, я уже за неделю все из нового прочитал. Темы у Вас такие что за душу берут, и за кошелек тоже - и то хочется сделать, и это попользовать. До встречи в пятницу.
safer:
25 октября, 2008 г. в 6:55 pm
Многое о XSS слышу впервые, информация очень интересная.
Уютный:
28 октября, 2008 г. в 11:48 am
Зачем поднимать то, что уже не актуально?
gorunov:
7 ноября, 2008 г. в 2:25 am
Я до сих пор встречаю иногда ссылки на сайте или рекламные посты с подобной информацией. Оказывается вот в чём дело.
Значит, скорее получается, просто лохотрон.
Олег:
8 ноября, 2008 г. в 10:46 am
за всем надо внимательно следить
Автор блога Виталий:
12 ноября, 2008 г. в 8:25 pm
Арсений, а бороться, собственно, уже нет смысла, если говорить про применение технологии XSS для раскрутки сайта.

Олег, это точно
Автор блога Виталий:
12 ноября, 2008 г. в 8:29 pm
Уютный, затем, чтобы проанализировать то, что было и сделать выводы на будущее.
Илья:
16 ноября, 2008 г. в 3:22 pm
Это теперь можно в учебники по истории Сео заносить да были времена,кто с мозгами был и сек фишку хорошо поднялись,жаль что не застал еще это время...просто еще не работал в сео,но шанс бы тоже не упустил:)
FitVibe:
20 ноября, 2008 г. в 8:01 pm
Хорошо что я ссылок вообще не покупаю - посмотрим как можно раскрутить без них
Григорий:
28 ноября, 2008 г. в 10:08 pm
товарищи, а почему никто не упомянул сколько тИЦ'ов он на этом поднял в свое время?
Dimarik:
29 ноября, 2008 г. в 5:40 pm
Можно вместо сказки детям на ночь рассказывать))
Каширин С.:
4 декабря, 2008 г. в 11:40 pm
"Эх больная тема... признаюсь... наштамповал сателлитов прогнал тиц поднял.. По ресторанам ходил:) а 21 апреля на следующий день после моего дня рождения все.. подарок от Яндекса...Ща вот делаю СДЛ , а что остается.."
это даже не от Яндекса подарок,а от одной известной в кругах сео личности,который взял и спалил тему Яндексу,а потом уже и реакция от Яндекса пошла...я думаю все знают,о ком я говорю
Евгений Леонидович:
5 декабря, 2008 г. в 5:47 pm
Каширин С.,да..кто же не знает принца сео ))
ford:
7 декабря, 2008 г. в 4:06 am
Да ладно уж Вам - спалили, спалили... Давно уж в Яндексе этот метод известен был.
Чеширский Кот:
16 декабря, 2008 г. в 7:27 pm
ford,дык как спалили так и стал известен
hexz:
19 декабря, 2008 г. в 4:03 pm
почему рухнуло, ведь тиц остался у сайта?
Автор блога Виталий:
21 декабря, 2008 г. в 4:46 pm
hexz, вот именно, что у таких накрученных сайтов тиц стал очень маленьким
Евгений:
25 декабря, 2008 г. в 8:39 pm
Полезно даже для того, чтобы не попасться на уловку мошенников в следующий раз.
Jaski:
30 декабря, 2008 г. в 2:42 pm
Ностальгияяя помню как все рухнуло)Жалко конечно,вот тогда было время что бы развернуться хорошенько.
Алексеев:
12 марта, 2009 г. в 7:54 pm
А мне жаль,что тема не работает больше:( Всё-таки такие возможности для работы были.Эх:(
Бизнесмен:
15 марта, 2009 г. в 3:53 pm
жалко бажину прикрыли (. дела тогда ой как хорошо шли )))
Валентинов:
17 марта, 2009 г. в 7:02 pm
Бизнесмен,дааа были времена:)
Риэлтор:
29 марта, 2009 г. в 1:30 am
Это был очень хороший и эффективный способ.
STATER:
5 апреля, 2009 г. в 7:40 am
Лучше быть честным
Форекс трейдер:
15 апреля, 2009 г. в 11:31 pm
Жалко что так и не попробовал на практике.
Abragnono:
12 мая, 2009 г. в 4:38 pm
2 гоша: ну сорри)
Shultz:
21 мая, 2009 г. в 11:57 am
Самое интересное что XSS спам во первых еще работает кое-где, а во вторых помогает ранжированию
до недавнего времени в ТОПе "продвижение сайтов" был сайт раскрученый вариацией XSS
Siteprog:
30 июня, 2009 г. в 8:31 pm
Жалко, что не успел использовать этот метод. Хотелось бы поэкспериментировать.
Сергей:
13 июля, 2009 г. в 12:14 pm
Пиар учитываются с сайтов, расположенных на бесплатных хостингах?
Автор блога Виталий:
23 июля, 2009 г. в 1:19 pm
Сергей, учитывается.
Alex:
10 января, 2010 г. в 11:43 pm
Вот что значит "учить матчасть". Когда узнаешь иннет изнутри, сам найдешь способы раскрутки и наращивания тица
Bob:
24 января, 2010 г. в 8:20 pm
Чего уж теперь вспоминать о делах давно минувших дней!
Может уже чего новенького напридумывали?
Как сейчас поднимаются?
Напишите почитаем!
Сергей:
7 февраля, 2011 г. в 10:31 pm
А раньше способ был рабочий
inco_by:
25 июня, 2011 г. в 6:08 pm
Уже не работает!
Китай:
30 августа, 2011 г. в 1:08 am
Китайские телефоны уж точно так не продвинуть
балбес:
1 апреля, 2012 г. в 11:50 am
лучше покупать ссылки в биржах..чем искать халявные пути внешней оптимизации сайта!
политик:
1 апреля, 2012 г. в 11:51 am
балбес, не похоже что ты балбес!;)