开放重定向:您的网站有没有被恶意地利用

作者:Jason Morrison 来源:谷歌中文网站管理员博客 时间:2009-02-18 17:04:00 


网站管理员们经常会面对诸多需要帮助用户重定向到其他页面的情况。不幸的是,对任意目的地开放的重定向很可能被滥用。这是一个防不胜防的滥用形式,因为它充分利用了您网站的功能,而不是利用您网站的潜在缺陷或安全漏洞。网络垃圾制造者试图利用您的域名作为临时登陆页以将用户、搜索用户和搜索引擎诱骗到看似指向您的网站,实际上却重定向到其垃圾网站的链接。

我们正在努力把滥用网址排除在我们的索引之外,但从您的角度确保您的网站没有以这种方式被滥用也是非常重要的。您一定不希望您域名上的链接把用户带到一些充斥着 * 、恼人病毒、恶意软件以及欺骗性企图的网页上来。网络垃圾制造者会生成链接,并使之出现在搜索结果中,而这些链接往往指向那些您不想与之有任何瓜葛的垃圾网站。

最近这种滥用比较普遍,所以我们想让您和其他网站管理员们对此有所了解。首先,我们将举出一些重定向被滥用的例子,随后我们将探讨如何发现被滥用的网站以及如何对此进行处理。

被网络垃圾制造者滥用的重定向

我们注意到,网络垃圾制造者盯上了从大型知名企业到小型地方政府机构在内的各类网站。下面的列表是各种被广泛使用的重定向的示例。这些都是合法的技术手段,但如果这些技术手段也正在您的网站上被应用的话,您要谨防滥用的发生。

1将用户重定向到服务器某一文件(如PDF文件)的脚本有时会很脆弱,容易被恶意利用。如果您使用的是可以上传文件的内容管理系统( CMS ) ,您应该确认您网站下载区的链接是直接指向文件而不是通过重定向来指向的。请留意这样的链接形式:

example.com/go.php?url=

example.com/ie/ie40/download/?

2网站的内部搜索结果页上有时有自动重定向选项,这也比较容易被恶意利用。请留意下面形式的网址,它们会将用户自动重定向到“url=“后所跟的网址上:

example.com/search?q=user+search+keywords&url=

3跟踪点击量的联盟计划系统、广告程序或网站统计信息也是有被滥用危险的。示例网址包括:

example.com/coupon.jsp?code=ABCDEF&url=

example.com/cs.html?url=

4代理网站,虽然这不完全是技术上的重定向,但它被设计成帮助用户登录其他网站,因此也比较容易遭到滥用。包括用于学校和图书馆的代理网站。例如:

proxy.example.com/?url=

5在某些情况下,登录页会将用户重定向回他们登录前试图访问的页面,而这也是容易遭恶意利用的。请留意类似这样的网址参数:

example.com/login?url=

6用户离开网站时向用户提供信息的缓冲网页的脚本易被滥用。大量的教育机构,政府部门以及大型企业的网站采用这样的脚本来让告知用户,您正在离开本站而前往访问外部网站上的信息,例如以下网址模式:

example.com/redirect/

example.com/out?

example.com/cgi-bin/redirect.cgi?


标签:
0
投稿

猜你喜欢

  • 如何制作符合搜索引擎要求的XML地图

    2009-01-05 13:13:00
  • 关于baidu一些排名规则的讨论

    2008-06-01 13:33:00
  • adsense有点击次数却没有收入?

    2008-08-06 20:21:00
  • CentOS 7下用firewall-cmd控制端口与端口转发详解

    2023-11-01 05:33:21
  • windows server 2008设置技巧及优化

    2011-01-17 14:37:00
  • 应对搜索排名算法调整 稳固自然排名关键字策略

    2009-03-21 16:38:00
  • 把握建站基本定义:CNZZ数据专家

    2009-10-13 10:07:00
  • LinuxApacheWeb服务器配置教程

    2008-09-26 17:26:00
  • 面向用户的优化

    2009-01-04 10:56:00
  • phpcms v9不用下插件自己做留言板

    2011-08-13 17:04:11
  • 四种简单方法提高内容的创意与互动

    2008-02-01 08:37:00
  • SupeSite7.0默认模板样式解析之相册篇

    2009-09-07 16:48:00
  • 适用Foxmail Server轻松搭建邮件服务器

    2010-03-08 18:38:00
  • Office 2010技术预览将终结 Beta发布在即

    2009-10-28 09:18:00
  • 10款ARP防火墙横向测评 谁是王者?

    2010-02-21 16:27:00
  • 数据库服务器安全的权限控制策略互联网

    2009-09-19 20:10:00
  • 网站流量提高独招 短期与长期方法要并重

    2009-05-08 10:11:00
  • 使用 Apache Superset 可视化 ClickHouse 数据的两种方法

    2023-06-21 08:09:45
  • 网站产品设计:一中心两基本点四基本原则

    2008-12-24 11:16:00
  • Google测试新AdSense系统

    2008-02-24 15:06:00
  • asp之家 网站运营 m.aspxhome.com