Главная » Хабрахабр » [Перевод] Подмена поисковой выдачи Google

[Перевод] Подмена поисковой выдачи Google

Несмотря на простоту уязвимости, последствия от ее применения могут быть довольно серьезными.  
Эксперт по информационной безопасности Wietze Beukema обнаружил довольно простую логическую уязвимость в формировании поисковой выдачи Google, позволяющую производить манипуляцию результатами выдачи.

Knowledge Graph при формировании поисковой выдачи по запросу. Простое добавление параметров в uri позволяет подменить т.н.

Граф знаний предоставляет структурированную и подробную информацию о теме в дополнение к списку ссылок на другие сайты.
  Knowledge Graph — семантическая технология и база знаний, используемая Google для повышения качества своей поисковой системы с семантическо-розыскной информацией, собранной из различных источников.

 
Цель состоит в том, чтобы пользователи могли использовать эту информацию для решения своих запросов без необходимости перехода на другие сайты и сбора информации самостоятельно.

При формировании графа можно поделиться его результатами в виде short-URL, который содержит параметр kgmid, отвечающий за отображение Knowledge Graph, а также параметр kponly, отвечающий за приоритет Knowledge Graph.

 
После перехода по short-URL ссылка трансформируется, и можно получить необходимый параметр kgmid:

 
Далее полученный параметр можно использовать для формирования поддельной выдачи:
https://www.google.com/search?q=торт&kgmid=/m/07s4h8h&kponly

Для маскировки uri можно воспользоваться goo.gl: https://goo.gl/5FK7Na

Данные манипуляции могут быть использованы злоумышленниками для создания недостоверной информации, поддельных новостей, вбросов и т.д.




Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

[Из песочницы] 5 наиболее распространенных проблем работодателей при подборе IT-специалистов с точки зрения рекрутера-аутсорсера

Эта статья написана по материалам моего выступления на HR Meetup #5, проходившего 5 октября 2018 года в г. Ростове-на-Дону. О себе Меня зовут Игорь Шелудько. У меня высшее техническое образование. Я – предприниматель в сфере разработки и продаж программного обеспечения ...

«Пора валить из фронтенда»: Андрей Ситник о стагнации сообщества, опенсорсе и не только

Но поскольку Андрей живёт в Нью-Йорке, а путешествует по всей планете, застать в России его можно нечасто. Андрей Ситник из Злых марсиан — одно из самых известных российских имён во фронтенде: у его проектов PostCSS и Автопрефиксер счёт GitHub-звёзд идёт ...