XSS and SEO

[zamolx3]

Salut,

In aprilie am facut un mic test si am postat despre el pe un forum de securitate web. Postul se gaseste aici:
http://sla.ckers.org/forum/read.php?2,9819,9819

Ideea este ca majoritatea site-urile sunt vulnerabile la XSS (cross site scripting) si ca majoritatea administratorilor nu inteleg exact problema si pur si simplu o ignora. Din acest motiv XSS-urile raman nefixate pentru luni/ani.
Exista arhive actualizate zilnic cu aceste XSS-uri.
Exemplu: http://www.xssed.com/archive

Aceste XSS-uri pot fi folosite si pentru SEO.
Cu ajutorul XSS-ului se poate injecta cod HTML in pagina vulnerabila.
Codul HTML injectat poate sa fie si un link (IBL)

Eu nu sunt un specialist SEO, testul asta l-am facut doar din curiozitate.
Vreau sa inteleg mai bine cum functioneaza lucrurile.

Testul a fost de genul urmator:
Am luat un site vuln la XSS (http://www.hackerwatch.org/library/?...1b%3C/font%3E).
Am pregatit un URL care injecta un cod HTML pe pagina respectiva.
Textul injectat a fost 11c89bd5b1ae38140272fe4a0a52991b (care este un md5 pentru un anumit string).
md5-ul respectiv nu intorcea nici un rezultat pe Google/MSN.
Am submit-uit URL-ul respectiv la Google si MSN.

Am asteptat.
Dupa un timp, MSN a indexat pagina.
Dintr-un motiv necunoscut pentru mine, Google nu a indexat pagina nici acum.
http://www.webcrawler.com/webcrawler...7?_IceUrl=true

Deci scopul acestui post este sa va intreb daca aveti idee din ce cauza Google nu a indexat URL-ul si MSN l-a indexat.

Nu e vorba de timp, testul asta a fost facut in aprilie.

[kevinro]

Ai incercat doar sa inscrii pagina, sau ai pus un link catre ea pe o pagina vazuta de Google? Daca ai incercat sa o inscrii in Google, nu mai astepta, ca asa zisa inscriere e frectie la picior de lemn. Google indexeaza numai continuturi pe care le poate accesa prin linkuri.

MSN indexeaza, intr-adevar, fel de fel de continuturi. Am intalnit si cazuri in care indexa interfete de administrare ale unor directoare web, ceea ce imi dadea posibilitatea sa imi aprob singur site-urile inscrise, peste lista de asteptare . Chiar nu stiu cum reusea sa treaca de parole.

[miller]

Un link pe o pagina care nu poate fi gasita prin navigare obisnuita (clicking) intr-un site si indexata cu chiu cu vai de MSN cu greu poate fi numita ca fiind folositoare pentru SEO.
Inca nu am vazut un exemplu clar de ce se poate face prin XSS. Am inteles ca se poate executa cod javascript prin modificarea url-ului si ca prin javascript poti sa preiei informatii ale utilizatorului dar din cate ma duce capu trebuie sa-l faci cumva pe userul respectiv sa ajunga pe pagina aia. Cum faci asta?

[zamolx3]

@kevinro, am incercat sa o inscriu la Google. Am folosit si QUIT (http://www.bluehatseo.com/quit-quick-indexing-tool/)
Multumesc, o sa incerc ce ai zis tu si o sa vedem ce se intampla.

@miller, da. ai dreptate. pai se folosec metode clasice: email, link-uri in forumuri, clienti de chat, ...
uite un video despre ce intrebai. e cam lung dar daca ai rabdare o sa vezi exact care-i idea.
http://milw0rm.org/video/watch.php?id=30

Dar eu vorbeam de ceva total diferit. De a obtine usor IBL-uri folosind XSS.

[zamolx3]

kevinro, ai avut dreptate. Am facut un blog pe blogspot am creat un link catre XSS si a aparut in 2-3 zile pe Google.

Deci functioneaza idea

Acum incerc cu link-uri directe dar nu ar avea de ce sa nu mearga.
Din punctul meu de vedere asta este o chestie tare de tot pentru SEO.
Poti sa obtii rapid si gratis link-uri pe site-uri cu PR mare.

http://www.google.ro/search?q=11c89b...ient=firefox-a

[miller]

kevinro, ai avut dreptate. Am facut un blog pe blogspot am creat un link catre XSS si a aparut in 2-3 zile pe Google.

Deci functioneaza idea

Acum incerc cu link-uri directe dar nu ar avea de ce sa nu mearga.
Din punctul meu de vedere asta este o chestie tare de tot pentru SEO.
Poti sa obtii rapid si gratis link-uri pe site-uri cu PR mare.

http://www.google.ro/search?q=11c89b...ient=firefox-a

Intr-un timp foarte scurt Kevin Mitnick va deveni cel mai mare SEO-ist al tuturor timpurilor. Eu cred ca PR-ul paginii care da IBL-ul conteaza si nu al site-ului. Poate imi confirma cineva care lucreaza in domeniu...

[blad3]

miller, daca ai dreptate atunci nu se poate face mare lucru cu XSS.
Are logica ceea ce zici.

[kevinro]

kevinro, ai avut dreptate. Am facut un blog pe blogspot am creat un link catre XSS si a aparut in 2-3 zile pe Google.

Deci functioneaza idea

Acum incerc cu link-uri directe dar nu ar avea de ce sa nu mearga.
Din punctul meu de vedere asta este o chestie tare de tot pentru SEO.
Poti sa obtii rapid si gratis link-uri pe site-uri cu PR mare.

http://www.google.ro/search?q=11c89b...ient=firefox-a

PR-ul paginii care iti va da tie link va fi mic (probabil 0, maxim 1). Dar linkul va fi pretios, intr-adevar, daca domeniul site-ului e unul de tip "autoritate", adica bine vazut de Google.