世界杯的狂欢也是黑灰产的狂欢？

如下来自阿里巴巴集团安所有的高级安全专家 汇丰 的解读：

 

4年一届世界杯正在如火如荼的进行，等了4年，谁都不想轻易的放过这一个月的狂欢，除了买票去现场感觉足球氛围之外，大部分人都会去预测每场比赛的结果，毋庸置疑各类博彩和竞猜app是世界杯月里面安装量增加最快的应用。

 

今天咱们不讨论世界杯谁能夺冠，也不讨论博彩和比赛竞猜的玩法，咱们先从广告开始看下相关的黑灰产如何突破重重阻碍把广告打到你脸上，再谈谈一些看似低危的漏洞若是用在黑灰产中会带来多少危害。讨论的内容有点敏感，仍是那句话，技术是把双刃剑，但愿你们看到的是两面，可是只用一面。文章中大部分的漏洞自己就是在修复范围内的漏洞，只不过站在不一样的角度能看到不一样的利用价值或者说危害程度，有些漏洞对公司无害或者没什么危害不表明他的社会危害低，就像电信诈骗同样，公司泄露的是数据，但从单个case来讲排除部分大公司的赔偿，基本都是须要用户本身买单。

 

流量是全部互联网公司最看重的，只要有流量就能变现。流量这块中很重要的就是三方搜索引擎的流量来源，也就是咱们经常使用的谷歌、百度、神马等，另外就是基于搜索引擎的各类黑、白帽seo技术。咱们知道搜索引擎抓取网页之后在创建排名的时候主要以title关键词建索引而后根据必定的算法创建排名，排名算法中特别重要的是看网站的权重，若是是权重高的网站关键词也相应排名比较靠前。因此从这个角度来看主要有两个条件，一个是title可控，一个是网站自己的权重，因此基于这两个条件咱们来看下黑灰产是怎么玩转一些鸡肋漏洞的。

 

场景1、搜索

 

内部搜索是如今各网站或者服务的标配，不少搜索结果的聚合页面都会把咱们搜索的关键词放到title当中，至关于用户可自定义title，而后把整个搜索连接想办法让搜索引擎收录，由于网站自己的权重较高，因此这种的连接有时能得到较好的排名。这是利用这点黑灰产就能够免费打广告了，并且这种方法成本很是低，经过一个脚本能够生成无数这种网页，以下列举一些截图:

 

 

 

 

场景2、我的主页

 

基于搜索的场景搜索引擎很好封堵，搜索引擎应该也会逐渐识别，处理规则能够相似反射型xss，当url中的关键字在title中出现就不收录，因此之后估计会愈来愈少愈来愈难，可是基于我的主页的场景应该会长期存在，须要作内容关键字识别及时封堵。

 

以下图是1688的我的主页：

>>>>阅读全文