В свои студенческие времена, у меня был знакомый кореш, который замутил свой интернет-магазин. Короче, крутил он, вертел пальцами, что движок к сайту он писал собственноручно, и никакой какер к нему не подсунется. Так вот помниться, поспорили мы, чисто символически по-студенчески, - на пиво, что и на старуху найдется проруха. Тогда-то я и познакомился с так называемым - XSS.

Для тех, кто не в курсе, какой смысл скрывается за аббревиатурой XSS, вкратце поясню. XSS (Сross Site Sсriрting, в простонародии - межсайтовый скриптинг) - это разновидность уязвимостей web-ресурсов, которые некорректно обрабатывают специальным образом подготовленные запросы. Под некорректной обработкой понимается отсутствие или недостаточная фильтрация небезопасных конструкций в параметрах запроса с непосредственным выводом этих конструкций на страницу.

Возвращаясь к сайту кореша, как вы уже, наверное догадались, нашел я таки там XSS-дырку в поисковых запросах его e-магазина.

Написал соответствующий линк, который на странице подгружал левый скрипт со стороннего сайта. Даже скриншот сделал для внуков. И послал корешу ядовитый урл вместе со скриншотом по почте.

Кореш потом рассказывал, что чуть со стула не грохнулся когда перешёл по ссылке и увидел на своем сайте такую картину …

Выиграл тогда я свое пиво.

Только баловство все это. Лучше бы я тогда на примере кореша в e-коммерцию ушел. Быстрее бы в SEO пришел.

Прелюдия это была.

Вчера, совершая вечерний променад, по пути домой осенила меня мысля. А почему бы таким же вышеописанным образом не попытаться продвигать свои линки через XSS уязвимости пеаристых сайтов? Проще говоря, скрестить XSS с SEO.

Согласен, метод не совсем из белых, но не проверить его хотя бы в экспериментальных целях было бы непростительным расточительством.

Значит сущность метода такова:

• находим пачку пропеаренных сайтов с вышеуказанными недостатками;
• подготавливаем для них «нужные» ссылки на «нужные» сайты;
• скармливаем эти ссылки поисковикам;
• ждем прокачки «нужных» сайтов;
• радуемся : )

Однако, перед тем как радоваться, возникает ряд вопросов:

• Как воспримут поисковые роботы «нужные» ссылки?
• В каких поисковых системах они проиндексируются?
• В каких не проиндексируются?
• Включит ли мой блог Давыдов в свой 4-ый китайский эксперимент?
• Был Ли У Древних Инков Сбит Прицел?
• Как Нужно Какать?
• Что будет, если в Яндексе ввести “Давыдов”? ; )

Воодушевленный собственным открытием, вернувшись домой, я незамедлительно стал искать ответы на свои вопросы.

Набрав в гугле ключевые слова данного поста и пробежав по ссылкам СЕРПа, я понял, что хреновый из меня Архимед получается. Понятное дело, все уже придумано до нас и за нас. И надеяться на уникальность данной идеи было бы сверхглупо. Хуже того, с первого взгляда по названиям ссылок (Яндекс больше не любит XSS, XSS накрылось, неуспев толком воплотиться), можно без труда догадаться, что лавочка уже прикрыта, по крайней мере, у Яндекса. В разочарованных чувствах я продолжил прощупывать информацию по теме.

В основном везде в постах говорилось, что в метод уже не работает, однако комменты к статьям расходились во мнениях. Одни кричали, что «XSS-линки уже не работают!», другие в ответ – «Ещё как работают, только вы не умеете их готовить!», третьи орали и на первых и на вторых, чтобы те, не палили темы простым смертным. Не понимаю я только, где тут палево?

Дурдом, короче. Вообщем, для меня тема XSS в SEO до сих пор не раскрыта.

Посему, решил провести свой тестовый эксперимент. Нарыл пяток линков на сайты с «некислыми» ПиаРами на мордах:

• www.nist.gov - National Institute of Standards and Technology;
• www.adobe.com - Adobe Systems Incorporated;
• music.download.com - Free MP3 Music Downloads;
• riaa.com - Recording Industry Association of America;
• search.nba.com - без комментариев …

Будем надеяться, что сильно по жопе за эти действа не получу : )

На всякий случай отбрехаюсь, что я не я, и корова не моя.

Типа, дисклэймер

Вся представленная здесь информация представлена в образовательных целях и носит исключительно исследовательский характер. Автор ответственности за использование данной информации в незаконных целях естественно не несет. Он лишь пытается указать на ошибки в работе исследуемых систем.

• Прокачка с доменов поисковых систем (4)
• Оптимизированный H1 (6)
• Выкидываем сами себя из SERP’a (9)
• Yahoo всех победил (2)
• Переезд на собственый домен на блогспоте (4)

По мере бурного постижения премудростей SEO, заметил, что сильно распыляюсь и вязну в гипертекстовых переходах.

Начинаю читать супер-пост какого-нибудь мега-авторитетного Бомжа и, спотыкаясь на очередном жаргонизме, переключаюсь на поиск внятного определения того или иного термина. После, чтение продолжается ровно до следующего спотыкания. Дальше вхожу в рекурсию … и, трындец.

В результате получаю 20-30 открытых страничек в браузере, до основания засранный мозг и ощущение глубокой прострации.

Дабы изменить ситуацию, сделал вывод, что не стоит гнать сломя голову сквозь дебри гипертекста. И для того чтобы хоть как-то усваивать материал, решил кое-как поменять тактику и без суеты изучить мат.часть.

Порылся в своей библиотеке и отыскал, книжку по Гуглу: Гусев B.C - Google: эффективный поиск. Краткое руководство (честно говоря, никогда не думал, что она мне сможет когда-нибудь пригодиться). Беглый обзор книженции оказался ничуть не лишним, и в доходчивой и краткой форме я ознакомился с основными терминами, понятиями и сервисами этой поисковой системы.

Дальше, скачал FeedReader – программулину, которая предназначена для автоматического сбора сообщений из RSS/Atom-каналов. К слову, очень приятная и удобная в использовании программа, которая к тому же ещё портабельна и совершенно бесплатна.

Ну и далее, как «истинный SEO-бомж» подписался на соответствующий фид-канал сообщества, ну и другие околоSEOшные rss-ленты, ценная информация которых, позволит нарастить мое Альтер-Эго до необъятного.

• План действий SEO-блоггера (0)
• BUM - контрамот (0)
• Консольный бэкап (6)
• Результаты моего бомжегодика (4)
• Сплин, осенние протуберанцы, кирпичи (2)