百度 Exploit: Canonical Negative SEO

 

已经发现了一种新的负面SEO攻击方法。使这种攻击特别糟糕的是，几乎不可能检测到攻击者。如果攻击网站未知，则无法恢复。

到目前为止，百度仍然保持沉默，他们打算如何继续关闭百度如何对网页进行排名和取消排名。

值得注意的是，已经观察到这种利用，但未经过测试和验证。如果这种利用是真实的，它有可能以一种主要方式破坏百度的搜索结果。

攻击是如何被揭露的

Hartzer Consulting的Bill Hartzer发现了跨站点规范攻击。一家公司向他询问了排名突然下降的情况。在审查反向链接的过程中，Hartzer发现了与一个陌生网站的链接。

但是客户没有链接到该网站。调查其他网站导致他进入负面SEO网站。

如果该攻击网站没有链接到第三页，那么Hartzer将无法识别攻击网站。这要归功于SEO数据挖掘公司Majestic的新索引，其中包括Hartzer能够发现攻击网站的规范数据。 （编者注：: Hartzer是一位雄伟的品牌大使。）

Canonical Negative SEO如何运作

攻击的工作原理是复制整个“头部”。受害者网页的一部分进入垃圾网页的头部，包括规范标签。规范标签告诉百度这个垃圾邮件页面是受害者的网页。

然后百度可能会将垃圾网页上的所有内容（以及负面垃圾邮件分数）分配给受害者的网页。

在Rel=Canonical Say上，百度的支持页面是什么？

这是百度自己的支持页面，关于百度如何处理rel=canonical。 以下是百度自己的支持页面:

的形式

我为什么要选择规范网址？

您有多少理由想要在一组重复/类似页面中明确选择规范页面:

为相似或重复的页面合并 链接信号。它可以帮助搜索引擎将各个URL的信息（例如指向它们的链接）整合到一个首选的URL中。这意味着来自其他站点 到 的链接http://example.com/dresses/cocktail?gclid=ABCD 通过链接汇总到 https://www.example.com/dresses/green/greendress.html。

什么是百度的响应？

到目前为止，百度似乎专注于在没有调查的情况下驳回这个想法。  John Mueller在Twitter上发布说Rel-Canonical是一项十年前的技术，这样的事情已经浮出水面。这里有什么＆ldquo;百度＆rsquo; s Mueller推文:

相关规范已经存在了十多年，人们已经尝试了很多东西。它是规范化的信号;一个URL获胜，其他URL＆rsquo;爬行会掉线。

他的论点与Zui近的XML Sitemap Exploit相矛盾，后者已由百度正式确认。 仅仅因为一项技术已有十年之久并不意味着它无法被利用。Zui近的XML Sitemap Exploit与Mueller的声明相矛盾。

此外，Rel=Canonical不仅会影响爬网预算。从上面引用的百度支持页面可以看出，Rel=Canonical结合了链接分数。

穆勒跟进并说了:

＆ldquo; rel规范组合页面的前提是错误的。这不是它的工作方式，而是一个或另一个。＆rdquo;

但Twitter上的其他人指出，这一陈述与穆勒自己的言论相矛盾，他在接受采访时表示，他在接受采访时表示：:

＆ldquo;有了规范，你告诉我们这个页面实际上和其他页面一样。这对我们有所帮助，因为这样我们就可以获取这两个页面的所有信号并将它们合并为一个。“

穆勒的Zui后一句话描述了哈泽尔声称将要发生的事情。 Hartzer声称来自攻击页面的负面排名信号，包括成人网站的出站链接，赌博等，正在与受害者网站上的页面结合。

结果是受害者失去了排名的能力，大概是因为所有负面的垃圾邮件信号都归因于受害者的网站。

来自百度的声明＃1，因为Rel-Canonicals已经十年之久并不是解雇Hartzer警报的正当理由。确认的XML Sitemap Exploit与百度的声明相矛盾。来自百度的声明＃2，rel-canonicals没有合并页面是无效的，因为Mueller自己的话和百度自己的支持页面与他的断言相矛盾。

发布商可能会感觉好一点，知道百度正在认真对待报告并正在研究它。这是一个更好的回应，而不是不审查报告，只是用矛盾的陈述来驳回它。

百度的John Mueller以一个矛盾的陈述驳回了利用漏洞的想法。 百度尚未说明他们是否已测试此漏洞是否有效。如何检测此攻击

我问Hartzer是否有另一种方法来检测这些攻击。他说他尝试了许多软件工具，包括Copyscape和许多其他工具。但到目前为止，只有Majestic能够识别出一些攻击性网站。

＆ldquo;我尝试过源代码搜索引擎publicwww但它没有显示数据＆ndash;只有Majestic实际上是在展示这种关系，而那个＆rsquo; s是因为那个做负面SEO的人联系了，“rdquo;哈泽尔说。 ＆ldquo;在其他情况下，我发现，但该网站没有链接。我知道还有其他网站，他们正在做这个＆hellip;见过其他几个人。＆rdquo;

百度是否正在采取措施阻止跨站点漏洞利用？

Zui近发现类似漏洞的Kristine Schachinger提供了这些观察结果:

＆ldquo;通常攻击方法和结果可以直接相互追踪。但是这次攻击的矢量不在被攻击的网站中，而是在百度的算法中的弱点。

攻击基于百度＆lsquo;感知＆rsquo;这两个网站是一体的。这会在攻击者和受害者站点之间传递正面或负面变量。

混乱持续了一段时间，这意味着攻击具有超出实际攻击生命周期的持久性。这是一个百度问题，似乎没有被百度主动解决。＆rdquo;

这是Exploit Real吗？

这个漏洞被记录为发生在几个站点。但值得注意的是，迄今为止还没有任何实验证实这种攻击是可能的。

百度可以做些什么来阻止这种漏洞利用？

如果这个漏洞是真实的，它会影响百度和Bing如何使用规范标记。

实际上，规范标签不是指令。这意味着与Robots.txt文件不同，搜索引擎没有义务遵守规范标记。标准标记被搜索引擎视为建议。

如果确认规范标签的工作方式存在缺陷，那么可能的解决方案可能是搜索引擎更新规范规范，使其不再用于规范不同的域。理想情况下，这应该通过百度搜索控制台完成。

更多资源  7保护您的网站免受负面搜索引擎优化的提示

图像由Shutterstock提供，由作者修改

CategoryNewsSEO