- PVSM.RU - https://www.pvsm.ru -
Эксперт по информационной безопасности Wietze Beukema обнаружил довольно простую логическую уязвимость в формировании поисковой выдачи Google, позволяющую производить манипуляцию результатами выдачи. Несмотря на простоту уязвимости, последствия от ее применения могут быть довольно серьезными.
Простое добавление параметров в uri позволяет подменить т.н. Knowledge Graph при формировании поисковой выдачи по запросу.
Knowledge Graph — семантическая технология и база знаний, используемая Google для повышения качества своей поисковой системы с семантическо-розыскной информацией, собранной из различных источников. Граф знаний предоставляет структурированную и подробную информацию о теме в дополнение к списку ссылок на другие сайты.
Цель состоит в том, чтобы пользователи могли использовать эту информацию для решения своих запросов без необходимости перехода на другие сайты и сбора информации самостоятельно.
При формировании графа можно поделиться его результатами в виде short-URL, который содержит параметр kgmid, отвечающий за отображение Knowledge Graph, а также параметр kponly, отвечающий за приоритет Knowledge Graph.
После перехода по short-URL ссылка трансформируется, и можно получить необходимый параметр kgmid:
Далее полученный параметр можно использовать для формирования поддельной выдачи:
https://www.google.com/search?q=торт&kgmid=/m/07s4h8h&kponly [1]
Для маскировки uri можно воспользоваться goo.gl: https://goo.gl/5FK7Na [2]
Данные манипуляции могут быть использованы злоумышленниками для создания недостоверной информации, поддельных новостей, вбросов и т.д.
Автор: LukaSafonov
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/google/304867
Ссылки в тексте:
[1] https://www.google.com/search?q=торт&kgmid=/m/07s4h8h&kponly: https://www.google.com/search?q=%D1%82%D0%BE%D1%80%D1%82&kgmid=/m/07s4h8h&kponly
[2] https://goo.gl/5FK7Na: https://goo.gl/5FK7Na
[3] Источник: https://habr.com/post/435664/?utm_campaign=435664
Нажмите здесь для печати.