2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
在Google的官方WordPress插件Site Kit中發(fā)現(xiàn)的一個關(guān)鍵漏洞可能允許入侵者訪問Google Search Console到目標站點。
該插件具有40萬的安裝量,可用于配置各種Google產(chǎn)品,這些產(chǎn)品可提供洞察力,例如網(wǎng)絡(luò)流量,廣告收入,網(wǎng)站速度以及對WordPress的優(yōu)化。
現(xiàn)已修復(fù)的Google Search Console特權(quán)升級漏洞被評為嚴重,因為它不僅可以使黑客訪問Search Console,而且可以修改站點地圖或篡改搜索引擎結(jié)果頁面(SERP)。
漏洞插件
據(jù)Wordfence的專家介紹,在首次與Search Console連接后,該插件會生成proxySetupURL,該URL將Web管理員定向到Google OAuth,以利用代理運行驗證過程。另一個“用于驗證網(wǎng)站所有權(quán)的驗證請求是已注冊的管理員操作”的問題無法驗證該請求的真實性。這些缺陷加在一起“使訂戶級用戶有可能在任何受影響的網(wǎng)站上成為Google Search Console所有者,研究人員說。
一旦黑客獲得了Google Search Console的訪問權(quán)限,他們就可以通過操縱搜索引擎結(jié)果頁,注入惡意代碼進行非法獲利以及修改站點地圖來運行黑帽SEO廣告系列。它還允許未經(jīng)授權(quán)的訪問以查看競爭績效數(shù)據(jù)以及從Google搜索引擎結(jié)果頁中刪除網(wǎng)頁。
Google現(xiàn)在通過添加功能檢查和驗證請求是否已在經(jīng)過身份驗證的合法會話中發(fā)送的功能,發(fā)布了Site Kit插件的補丁版本。此外,無論何時將新所有者添加到控制臺中,它都會向Search Console所有者發(fā)出警報,以提高安全性。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。