当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013754

漏洞标题:百度等搜索引擎蜘蛛被不法产业劫持

相关厂商:百度

漏洞作者: 老道

提交时间:2012-10-22 20:37

修复时间:2012-12-06 20:37

公开时间:2012-12-06 20:37

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-22: 细节已通知厂商并且等待厂商处理中
2012-10-23: 厂商已经确认,细节仅向厂商公开
2012-11-02: 细节向核心白帽子及相关领域专家公开
2012-11-12: 细节向普通白帽子公开
2012-11-22: 细节向实习白帽子公开
2012-12-06: 细节向公众公开

简要描述:

对百度等搜索引擎蜘蛛劫持的黑色产业链已经开始泛滥

详细说明:

目前,随着国家对网上不法产业网站(私服,赌博,色情等)的打击,这类网站通过直接的搜索优化(seo)已经很难再被搜索引擎收录,因此这类网站转而开始与黑客进行合作,通过劫持高PR的政府站,教育站来获取流量。
其手法主要是通过黑客入侵高pr的政府网站,在其入侵的网站中加入劫持代码,来劫持百度等搜索引擎蜘蛛,致使百度等搜索引擎所收录的快照非原网站,而是不法分子的网站,从而使搜索者搜索某些非法关键字时,可以出现被入侵网站。并且让通过搜索结果点击进入网站时,可以跳转到其所希望的非法网站上。
具体案例:
示例1 百度搜索:香港六合彩


如果你觉得只要被劫持的网站都会被百度提示:该网站已被入侵,你就错了。
示例2 百度搜索:汽枪



漏洞证明:

漏洞证明?上面已经说了,既然要证明,那就再说几个。。。。
百度搜索:重庆时时彩


百度搜索:456游戏大厅


更多的大家可以自己搜索下

修复方案:

可以看出,百度在对网站的劫持检测上已经做了一些努力,部分劫持网站已经开始提示网站被劫持,但据我的测试,目前百度的劫持提示仅占到被劫持网站的不到百分之一,因此,既然百度已经开始做这方面工作,那么希望你们可以尽全力去做,在完善关键词黑名单机制的同时,可以根据被劫持网站多为政府站,教育站的特点,对此类网站进行更加细致的检查,当然,还有很多方法,就看你们想不想做了。。。。

版权声明:转载请注明来源 老道@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2012-10-23 11:54

厂商回复:

感谢你的反馈,我们一直在努力解决这个问题。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-10-23 01:00 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    元芳 你这是要断了黑阔的财路啊!

  2. 2012-10-23 08:17 | qing ( 路人 | 还没有发布任何漏洞 | 自由,平等,共享,互助)

    WK,看来代码又得更新了。。。。

  3. 2012-10-23 09:33 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    楼主不厚道.

  4. 2012-10-23 09:51 | 我怀念的 ( 实习白帽子 | Rank:45 漏洞数:8 | 我怀念的是无话不说,我怀念的是一起做梦!)

    人人都知道的事情,元方, 你何必说出来。

  5. 2012-10-23 10:20 | 咚咚呛 ( 普通白帽子 | Rank:116 漏洞数:10 | 我是一只小毛驴咿呀咿呀呦~~)

    我想骂人。。。。写点代码容易吗!

  6. 2012-10-23 10:23 | 安静 ( 路人 | Rank:12 漏洞数:3 | 宅男一枚....)

    求新代码。

  7. 2012-10-23 11:31 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    这孩子档了黑产的路啊,多少黑产兄弟要为了你加班码代码。

  8. 2012-10-23 11:35 | 小奥 ( 路人 | Rank:6 漏洞数:8 | 小奥,大一学生一枚,热爱IT)

    洞主啊,这种黑帽SEO的做法是没法避免的。。是垒墙容易还是推墙容易?

  9. 2012-10-23 11:46 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    洞主啊 你 out了 ..

  10. 2012-10-23 12:48 | 虫子 ( 路人 | Rank:5 漏洞数:1 | 小弟也是大学生)

    尼玛 这是何必了 你挡了人家财路你心里爽? 我说这话不代表我做这个 谢谢

  11. 2012-10-23 13:34 | 三无人员 ( 路人 | Rank:10 漏洞数:2 | 农民来的)

    很难避免的

  12. 2012-10-23 13:53 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    楼上各位好像不太愿意捅这个蚂蜂窝似的...

  13. 2012-10-23 19:10 | h4k3r ( 路人 | Rank:28 漏洞数:5 | 一个普通快乐2B的文艺青年)

    你要被砍了骚年,说出来就不叫潜规则了,你这是不懂规矩阿。

  14. 2012-10-24 06:47 | mOon ( 路人 | Rank:0 漏洞数:1 | 上线非本人,请勿打扰!)

    有些潜规则 骚年为了装a何必尼

  15. 2012-11-14 17:20 | f19ht ( 实习白帽子 | Rank:81 漏洞数:15 | 依依不舍的还是你的菊花。)

    不是漏洞的漏洞被你拿来提交了,害的楼上的各位又要加班了

  16. 2012-11-15 16:47 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    吃不到就倒打一耙么

  17. 2012-11-24 17:21 | promise ( 路人 | Rank:22 漏洞数:4 | 低调的各种路过!!!)

    潜规则啊!!! 枪打出头鸟啊!!

  18. 2012-12-06 21:58 | 陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)

    尼玛,发这漏洞有意思?

  19. 2012-12-07 08:18 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    秀逗,你得到了什么?5rank?高兴了?

  20. 2012-12-07 08:22 | 黑匣子 ( 实习白帽子 | Rank:64 漏洞数:17 | 我是一个有思想的菜鸟!)

    你知道的太多,你让那些做301、302挟持的杂活?

  21. 2012-12-07 09:40 | 生生不息 ( 路人 | Rank:5 漏洞数:1 | 工控、无线、能量辐射领域。不闲聊不扯淡。)

    表示潜规则?表示懂规矩?虽然我不做这个 估计社工已经开始了……

  22. 2012-12-07 10:32 | El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字,可不可能完...)

    码代码容易吗?就是因为有你们这样的人。。

  23. 2012-12-07 10:44 | koohik ( 普通白帽子 | Rank:542 漏洞数:63 | 没什么介绍的http://www.koohik.com/)

    哎~~~哎~~~