Z-Blog URL转发漏洞的修复方法

今天我发现了Z-Blog的URL转发文件存在一个漏洞，黑帽SEO通过这个漏洞可以欺骗反垃圾引擎而在类似 * 这样的站点进行恶意SPAM。

Z-Blog的反垃圾留言设计为通过加密URL地址进行转发，链接转发的文件名是c_urlredirect.asp，通过这个文件的参数转发不同的URL链接地址，但是加密的方法极其简单，只要将奇数字节拼合即可解密，因此，黑帽SEO通过拼合这个地址，将其他Z-Blog网站上的转发链接功能变成调用自己网址的功能，这样，即使其原始URL地址在 * 被屏蔽或者惩罚，他们也可以通过这种转发的方式继续在 * 制造垃圾链接。

解决这种黑帽SEO的方法，通过删除c_urlredirect.asp可以避免，但会导致博客正常作者留下的链接地址无法点击。通常可以使用修改代码的方法解决，在c_urlredirect.asp文件中，加入以下几行代码，这样，当黑帽SEO在其他网站制造URL转发链接的时候，页面就不会跳转，从而修复了这个漏洞。

Dim strReferer
strReferer=CStr(Request.ServerVariables("HTTP_REFERER"))
If Instr(strReferer,ZC_BLOG_HOST)=0 Then
 ShowError(5)
End If

建议所有使用Z-Blog的用户，请立刻在你的c_urlredirect.asp中加入以上代码，否则有可能会被不法之徒利用其做坏事，我在 * 的Spam blacklist里，已经发现不少Z-Blog博客的域名被列入了黑名单，包括我的域名在内，所有的操作都是一个黑帽SEO在10月底11月初的时候，通过一个韩国的VPN代理上 * 进行的恶意SPAM操作，这些黑帽SEO尽在那里做一些损人不利己的事情，实在是中国网络界的一个羞耻。

另外建议 * 在屏蔽垃圾链接的时候，对于这种黑帽SEO的恶意操作，不要屏蔽无辜的站点，比如我和另外几个Z-Blog博客的地址都被这个黑帽SEO利用，结果我们的域名都被 * 屏蔽，而且该黑帽SEO还可以通过这个方法陷害更多使用Z-Blog的网站。我建议 * 可以屏蔽c_urlredirect.asp这个地址，这样通过这种方法进行发送垃圾链接就会无效了，这样就可以避免错杀无辜了。

更新：Z-Blog官方站点已经出了补丁文件，点这里访问。