Naja, mal wieder nicht zur Nachahmung emfohlen, aber durchaus ein Argument die Sicherheit der eigenen Site gegen Cross Site Scripting (eigentlich wäre die Abkürzung CSS, um Verwechslungen mit der Stylesheet-Sprache zu vermeiden ist die genutzte Abkürzung XSS) zu überprüfen – XSS als black hat SEO-Methode zur Generierung von Backlinks …

Ohne jetzt weiter auf technische Details […]

the dark side of the web – XSS for SEO

Naja, mal wieder nicht zur Nachahmung emfohlen, aber durchaus ein Argument die Sicherheit der eigenen Site gegen Cross Site Scripting (eigentlich wäre die Abkürzung CSS, um Verwechslungen mit der Stylesheet-Sprache zu vermeiden ist die genutzte Abkürzung XSS) zu überprüfen – XSS als black hat SEO-Methode zur Generierung von Backlinks …

Ohne jetzt weiter auf technische Details einzugehen oder gar noch ein weiteres “Experiment” wie in den Blogs hier, hier oder hier zum Thema zu starten – XSS ist eine Form von Hacking, welche bereits seit Jahren bekannt ist und auch von Black Hat SEO´s neuerdings angeblich genutzt wird.

Es gibt verschiedene Möglichkeiten Code über Webformulare auf Webseiten einzuschleusen – bei der weiteren Recherche zum Website Hacking bin ich auf diversen Sites gelandet, die beinahe den Eindruck erwecken, als sei dies eine Art “Volkssport”.
Ich bin ziemlich irritiert bis erschreckt, wie einfach XSS als Website-Hacking umzusetzen ist :-(

Etwas beruhigt hat mich dann wieder die Tatsache, daß es bereits Online-Tools gibt, mit denen man seine Sites auf XSS-Anfälligkeiten überprüfen kann – die von mir getesteten eigenen Sites sind demnach zumindest sicher.

Leider kann ich nicht wirklich abschätzen wie gut, schlecht oder aussagekräftig die jeweiligen Tools sind?

Habe es mit dem Online Scan-Tool for HTML-Injection auf SEO-Egghead getestet – hier habe ich noch ein Tool (Springenwerk Security Scanner) gefunden, welches man offline installiert, allerdings braucht man dafür Python auf dem jeweiligen Rechner.

Auch interessant ist ein Zitat aus der Wikipedia zu XSS im “Zusammensoiel” mit Suchmaschinen-Robots:

Neuerdings werden Webspider, wie der Google Suchroboter, missbraucht, um serverseitige XSS- und SQL-Injection-Attacken auszuführen. Hierzu wird ein präparierter Link auf einer Webseite veröffentlicht. Sobald ein Webspider diesem Link folgt, löst er die Attacke aus. Dadurch taucht die IP-Adresse des Spiders und nicht die des eigentlichen Angreifers in den Protokollen des angegriffenen Systemes auf.

Der Schutz gegen XSS-Attacken ist je nach Webanwendung unterschiedlich komplex.

Im “Normalfall” ist es vergleichsweise einfach (wie hier im vorletzten Absatz beschrieben), sobald HTML vom Nutzer an die Anwendung übergeben werden muss, hilft nur noch die Überprüfung ALLER XSS Möglichkeiten, wie im XSS Cheat Sheet beschrieben.


Andere Beiträge mit ähnlichen Inhalten, die Dich evtl. auch interessieren könnten:


Den Artikel " the dark side of the web – XSS for SEO " bei SEOigg eintragen:

Der Artikel " the dark side of the web – XSS for SEO " enthält 338 Wörter.

Artikel mit verwandten Tags (Keywords, Suchbegriffe)


Am 08.09.06, 11:29 in Google SEOund Traurig, aber wahr ... by Frank veröffentlicht. RSS Feed für Kommentare.
Du kannst hier kommentieren oder hier per Trackback von Deinem Blog aus "verewigen".
· Gelesen: 4230 · heute: 4


3 Kommentare zu "the dark side of the web – XSS for SEO"


  • 08.09.06 um 13:25:05
    1. Torsten

    Das hast Du doch bestimmt in der letzten seoFM Folge aufgeschnappt, oder? – also nur weil ich keinen Verweis dorthin finde… schon komisch, dass Du genau 3 Tage nach der letzten Show von denen auf dieselbe Idee kommst, mal XSS näher zu beleuchten… :-)


  • 08.09.06 um 14:03:33
    2. Goatix

    Hi Torsten,

    Komisch, komisch … kenne Dich zwar nicht, glaube aber “vorhersagen” zu können, daß Du in Deiner Funktion als Orakel oder SEO-FM-Fan mit Blogwart-Funktion hier erfolglos wiede abziehen wirst ;-)

    Wie gerade auch in den eben zeitgleich mit Deinem Kommentar veröffentlichten Shortcuts ausführlich geschrieben, höre ich keine Podcasts !!!, weil ich mit den Dingern nix anfangen kann/will und dem geschriebenen Wort “mehr traue”!

    Auf den XSS Artikel bin ich gekommen, weil ich heute Vormittag auf internet4you.ch darüber gelesen habe – auf den habe ich natürlich auch direkt oben aus dem Bericht verlinkt!

    Themenirrelevant aber ähnlich gelagert:
    bin übrigens auch Handy-Verweigerer und geniesse meine Unerreichbarkeit ;-)


  • 08.09.06 um 14:29:00
    3. Goatix

    … ach, bist Du zufällig auch der SEO-FM Fan-Aktivist, der 3 Minuten nach Deinem Kommentar hier bei seo-podcast.de als DarkLord ebenfalls anonym kommentiert hat?

    Unabhängig davon: haste eigentlich keine Domain, oder traust Du Dich einfach nicht zu dem zu stehen, was Du fröhlich aber leicht voreingenommen bis oberflächlich in die Blogosphaere “trompetest” ;-)

    Diskutiere an sich lieber (und dann auch ernsthafter ;-)) mit real nachvollziehbaren Personen als mit anonymen “Schattenkämpfern” ;-)

    Nachtrag: Hab übrigens Nullkommagarnichts mit Sumago am Hut – ist für mich einfach auch nur ein weiterer deutscher SEO-Podcast nach SEO-FM als Vorreiter zu dem Thema. Als SEO-FM neu war, habe ich natürlich auch darüber berichtet, einmal reingehört und darauf verlinkt – regelmäßig hören werde ich vorraussichtlich trotzdem keinen von beiden. Hoffe meine momentane Einstellung zu SEO-Podcasts ist damit endgültig “rübergekommen” …



Deine Ideen zum Artikel: the dark side of the web – XSS for SEO

"Namen" wie "Suchmaschinenoptimierung, Reisen, Datenrettung etc." sind unerwünscht - ebenso die Verlinkung auf rein kommerzielle Projekte!
Derartige Verlinkungen werden mit Nofollow versehen, bzw. Kommentare werden entfernt. Kommentar-Links auf themennahe SEO, SEM, Marketing & Webmaster Blogs sind ok
Immer Nofollow gibt es für Blogger, die Nofollow-Links verteilen ;-)

Kommerzielle Werbung in Kommentaren ist diesem SEO Blog nicht erwünscht!

« SEO Referenzen aus SEO Ruinen?
Shortcuts – Google Sitelinks, Google´s ooooooo´s, neuer SEO Podcast, Zippy + die Zauberkugel ;-) »