46 XSS как способ увеличить статистические показатели сайтаВплоть до мая 2008 года нечистые на руку веб-мастера, применяя технологию XSS, лихо накручивали статистические показатели сайтов. И пусть метод этот давно уже прикрыт, тема оттого не перестает быть интересной.

Изначально «межсайтовый скриптинг» (XSS) для хакерской атаки использовал уязвимый сервер, избегая тем самым прямой атаки. Позже свою выгоду в этом методе нашли и серые оптимизаторы.

Чтобы повысить тИЦ без особых усилий, подбирались сайты с багами. Остальное, в общем, дело техники. Методом GET (т.е. прямо в адресной строке браузера) на незащищённый сервер отправлялся запрос с подходящими параметрами.

Чаще других использовался баг в функции phpinfo версии 4.2.2. Один из возможных способов атаки выглядел следующим образом:

http://***.edu/phpinfo.php?f[]=%3Ch1%3EMy-siteb%3C/h1%3E%3Cbr%3E%3Ca%20href%3Dhttp%3A//My-site.ru%3EMy-Site%3C/a%3E

Параметр f[] содержал собственно ссылку на сайт, которому заказано поднятие тИЦ. Такие ссылки активно продавались на биржах, публиковались на сайтах и форумах. Первыми прогорели оптимизаторы, которые покупали такие ссылки за баснословные деньги. От таких умельцев немало пострадал и сам каталог «Яндекса», который стремительно терял свою информационную ценность.

Эта технология в своем время наделала много шума в сети. И стала хорошим примером того, что нужно всегда оставаться на чеку, кто бы, что не обещал.