百度知识面板劫持解释

 

ZDNet报告称，安全研究人员发现可以操纵百度的知识面板。安全研究员在一年前通知了百度，但是百度拒绝修补所谓的漏洞。 可能的原因可能是因为它并不是真正的劫持攻击。

然而，可能有理由为什么百度应该考虑解决这个问题。

这不是劫持漏洞利用

涉嫌劫持攻击允许任何人改变百度的知识面板，以便他们可以将任何其他知识面板插入到他们希望的任意数量的搜索结果中。

以下是谁是Zui佳搜索引擎优化的搜索结果？ 

屏幕截图显示了一个改变的搜索结果，在知识面板中显示了一个虚构的电影角色，用于搜索短语，“谁是Zui好的SEO？”

正如您所看到的，我能够使用所谓的漏洞利用 来生成显然已被更改的搜索结果。点击这里查看它。 这很容易做到。任何人都可以做到。

但它并没有真正劫持百度的搜索结果。

为什么它不是搜索结果的操作

关于ZDNet的报告在标题中声称，“百度搜索结果列表可以被操纵用于宣传。”

虽然这在技术上是正确的，但它比标题所解释的更多。

所谓的漏洞利用不会改变百度在百度的搜索结果，也不会改变查看特定URL的人以外的任何人。

这个所谓的劫持所做的是允许某人使用URL参数来生成百度的搜索结果的修改版本。

什么是URL参数？

URL参数是URL中的代码。 URL中的问号（？）后面的所有内容都是URL中的参数。

URL参数是将信息传递给服务器的数据。根据服务器的设置方式，它可以告诉服务器您从哪个站点点击或使用的浏览器。然后，服务器使用该信息来更改搜索结果。

在这种情况下，URL参数会更改，这会导致SERP显示您选择的任何知识面板。

知识面板是否利用更改搜索结果？

修改URL参数不会改变百度本身或每个人的搜索结果。它只会改变正在改变自己的人的搜索结果，或者改变点击链接到该改变的搜索结果的人的搜索结果。

知识面板是否具有危险性？

任何事都很危险，取决于你用它做什么。改变URL本身并不危险。

任何潜在的危险取决于恶意用户如何使用这些更改的URL。可能有人可能会使用这些网址误导人。

可以毫不夸张地说，百度的搜索结果可以被操纵。这意味着每个人的搜索结果都可以被操纵。事实并非如此。

充其量这是一个有趣的伎俩。如果有恶意的人可以将其用于消极目的，还有待观察。

更新01-16-2019:

百度似乎解决了这个问题。 但修复可能会导致在结构化数据中使用MREID的人出现不同的问题，并链接到他们的百度知识面板。

修复程序可能会无意中导致那些从结构化数据中链接到其百度知识面板的人使用sameAs和一个百度机器可读实体ID的URL。如果搜索使用短语“知识图搜索API”，则会出现问题。在里面。修复很容易。使用您的MREID使用 生成新搜索，但在搜索框中使用您的实体。

阅读ZDNet文章: 百度搜索结果列表可以进行操作以进行宣传

更多资源如何使用百度Zui大化您的覆盖面知识Graph百度的新验证流程让用户编辑知识面板

按作者截图，由作者修改

CategoryNewsSEO