「网站安全笔记」如何应对搜索引擎关键词劫持

百家 作者:又拍云 2018-06-12 12:44:11

本文转自“明月登楼”的博客

摘要:目前,明月经过实测得出上海云盾、360网站卫士这些 CDN 或者网站WAF对于关键词劫持的方法效果都无效,只有又拍云 CDN 的HTTPS支持可以完美的防范关键词劫持,目前明月的博客已经切换至又拍云 CDN 了,至今两天都没有再发现被“劫持”的现象。


可能很多站长们都知道“劫持”这个当今互联网最大的危害之一,比较著名的劫持有 DNS 劫持、HTTP 劫持、浏览器劫持、路由器劫持等等,今天明月给大家讲的是一种很有隐蔽性的搜索关键词劫持,明月可以说近一个多月以来是深受其害,烦不胜烦。

刚开始的时候,明月一直怀疑是浏览器劫持的,也一直是照着这个思路去寻求解决办法的,很明显一直都没有办法完美的解决的。经过不断的对比查询后最终确定是搜索引擎关键词劫持。


那么什么是关键词劫持?

比如百度搜索某网站关键词,结果百度搜索后的结果是正确的,但是点击进去之后却跳转到别的非法网站上,并且此类劫持方式之后针对一部分关键字进行跳转,劫持方式比较隐蔽。

目前明月的博客就碰到的是这种关键词劫持,在手机端浏览器里进入百度搜索后搜索“明月登楼”或者“明月登楼的博客”任意一个关键词后,搜索结果是正常、正确的,当点击第一个搜索结果(也就是明月登楼的博客首页)链接后也会正常进入博客主页,但这个时候其实已经完成了“劫持”了,那就是在网页尾部植入了一小段 iframe 代码,这时候一旦点击博客首页任意链接就会发生弹窗广告、网址跳转以及弹窗提醒(如下图)之类的东西。

这种关键词劫持最恶心的就是,几乎所有手机浏览器都会出现(明月目前主要表现在手机端,PC 端暂时没有发现过),明月目前使用的手机浏览器有:Via 浏览器、Chrome、Firefox、夸克、小米原生浏览器几乎都出现过被劫持的现象,甚至百度新近推出的搜索应用“简单搜索”里都会出现被劫持,无语了都。


关键词劫持带来的后果

那么这种关键词劫持会带来什么后果呢?可以说后果还是非常的可怕和致命的。首先,被关键词劫持的关键词一般都是站点比较热门的、有一定排名权重的品牌关键词,长此以往被劫持下去这个品牌关键词一定会被搜索引擎降权甚至拉入黑名单,这对一个网站来说几乎是一场灾难性的 SEM 麻烦了。

其次,关键词劫持根据需求会限定特殊指定的关键词、站点、用户端(PC 端还是移动端),具有很强的“隐蔽性”,如果你的站点关键词众多,那么几乎是很难及时发现的,一旦被关键词劫持潜伏下去,对你网站的用户和网站流量影响都是不可挽回的损失和流失。


如何解决关键词劫持?

至于如何解决关键词劫持,首先我们可以在网站层面限制读写权限,限制恶意代码的写入,其次可以通过公有 DNS 和 HttpDNS 来防止恶意 DNS 劫持。全站开启 HTTPS,加密数据传输,可以有效防止数据泄漏,同时解决流量劫持的问题。

目前明月实测有效的就是全站 HTTPS 这种方法来防范和抵御这种劫持行为,当然,很多站长们都知道 HTTPS 可以有效防范“劫持”行为的侵扰,但是很多站长们可能不知道 HTTPS 防范“劫持”并不是百分百安全无忧的,特别是在你启用了 CDN 后,这个防范能力跟 CDN 的 HTTPS 支持情况是有很大的关联的,先了解一下 HTTPS 防劫持的原理:

HTTPS 防劫持

由于公共 DNS、HttpDNS 的部署成本过高,有一定的技术难度,并且在面对无孔不入的流量劫持时难免会力有不逮。这时候网站开启 HTTPS 作为防劫持手段之一可以高效的解决这些问题。目前绝大部分网站也都已经启用 HTTPS 来加密。HTTPS 协议就是 HTTP+SSL/TLS,在 HTTP 的基础上加入 SSL /TLS 层,提供了内容加密、身份认证和数据完整性三大功能,最终目的就是为了加密数据,用于安全的数据传输。

△ HTTP 请求

△ HTTPS 请求

SSL 协议在 HTTP 请求中增加了握手阶段,并且对明文 HTTP 请求、应答进行加密。SSL 握手阶段,客户端浏览器会进行服务器身份认证,确认客户端证书证书属于该目标网站并且证书本书有效的时候,并且通信双方还会共同使用一个加密和解密的会话密钥。

在 SSL 握手阶段结束之后,服务端和客户端通过会话密钥对交互数据进行加密/解密操作,将 HTTP 请求和应答经过加密之后才会发送到发送到网络上。

通过 SSL 协议对 Web 服务器的身份认证,使流量劫持导致的连接错误服务器情况被发现和终止,保证流量劫持无法实现。同时 HTTPS 在数据传输中对数据进行加密传输,保护数据不被窃取以及修改。

目前,明月经过实测得出上海云盾、360 网站卫士这些 CDN 或者网站 WAF 对于关键词劫持的方法效果都无效,只有又拍云 CDN 的 HTTPS 支持可以完美的防范关键词劫持,目前明月的博客已经切换至又拍云 CDN 了,至今两天都没有再发现被“劫持”的现象。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接