您的位置: 首頁(yè) >互聯(lián)網(wǎng) >

Google WordPress插件可能因惡意SEO而被劫持

2022-07-15 18:21:20 編輯:沈厚有 來(lái)源:
導(dǎo)讀 在Google的官方WordPress插件Site Kit中發(fā)現(xiàn)的一個(gè)關(guān)鍵漏洞可能允許入侵者訪(fǎng)問(wèn)Google Search Console到目標(biāo)站點(diǎn)。該插件具有40萬(wàn)的...

在Google的官方WordPress插件Site Kit中發(fā)現(xiàn)的一個(gè)關(guān)鍵漏洞可能允許入侵者訪(fǎng)問(wèn)Google Search Console到目標(biāo)站點(diǎn)。

該插件具有40萬(wàn)的安裝量,可用于配置各種Google產(chǎn)品,這些產(chǎn)品可提供洞察力,例如網(wǎng)絡(luò)流量,廣告收入,網(wǎng)站速度以及對(duì)WordPress的優(yōu)化。

現(xiàn)已修復(fù)的Google Search Console特權(quán)升級(jí)漏洞被評(píng)為嚴(yán)重,因?yàn)樗粌H可以使黑客訪(fǎng)問(wèn)Search Console,而且可以修改站點(diǎn)地圖或篡改搜索引擎結(jié)果頁(yè)面(SERP)。

漏洞插件

據(jù)Wordfence的專(zhuān)家介紹,在首次與Search Console連接后,該插件會(huì)生成proxySetupURL,該URL將Web管理員定向到Google OAuth,以利用代理運(yùn)行驗(yàn)證過(guò)程。另一個(gè)“用于驗(yàn)證網(wǎng)站所有權(quán)的驗(yàn)證請(qǐng)求是已注冊(cè)的管理員操作”的問(wèn)題無(wú)法驗(yàn)證該請(qǐng)求的真實(shí)性。這些缺陷加在一起“使訂戶(hù)級(jí)用戶(hù)有可能在任何受影響的網(wǎng)站上成為Google Search Console所有者,研究人員說(shuō)。

一旦黑客獲得了Google Search Console的訪(fǎng)問(wèn)權(quán)限,他們就可以通過(guò)操縱搜索引擎結(jié)果頁(yè),注入惡意代碼進(jìn)行非法獲利以及修改站點(diǎn)地圖來(lái)運(yùn)行黑帽SEO廣告系列。它還允許未經(jīng)授權(quán)的訪(fǎng)問(wèn)以查看競(jìng)爭(zhēng)績(jī)效數(shù)據(jù)以及從Google搜索引擎結(jié)果頁(yè)中刪除網(wǎng)頁(yè)。

Google現(xiàn)在通過(guò)添加功能檢查和驗(yàn)證請(qǐng)求是否已在經(jīng)過(guò)身份驗(yàn)證的合法會(huì)話(huà)中發(fā)送的功能,發(fā)布了Site Kit插件的補(bǔ)丁版本。此外,無(wú)論何時(shí)將新所有者添加到控制臺(tái)中,它都會(huì)向Search Console所有者發(fā)出警報(bào),以提高安全性。


免責(zé)聲明:本文由用戶(hù)上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。