Google站长工具(已修复的)安全漏洞补记

我通常每天起床后会先大致浏览一下Google Reader里的博客帖子标题,看看有什么重要新闻。2012年11月28号中午起床后就从英国SEO牛人David Naylor的博客上看到一个吓人的消息,Google站长工具突然出了个安全漏洞,有心人想的话,受影响的网站有可能被从Google中删除或者做些其它破坏,基本上站长工具帐号可能被别人控制。

看完细节后赶紧登录自己的Google网管帐号,果然看到这个漏洞,我自己就能删除一些别人的网站。中午1点左右发了条微博

Google管理员工具此时此刻有重大安全漏洞,知道漏洞的人可以对某些网站几乎为所欲为。我可以把几十个还挺有名的网站从Google中删除… 当然,我不会这么做。漏洞补上以后再发帖说细节。

微博发完不一会儿就有很多人问是什么情况,不少人比较担心,所以又补了一条:

为减轻很多人的担心,澄清一下:1)不是所有人的帐号都能看到这个漏洞,应该只是一小部分人。2)不是所有网站都暴露在漏洞下,只是特定情况下。具体什么情况,由于显而易见的原因,漏洞补上后才能发帖说明。3)即使被利用,应该可以补救,毕竟网站是在自己手上。4)不信的可以等几天看博客帖子。

下午4点钟左右,漏洞被补上了。

本来早该写这个帖子说明一下,实在太忙,人老了,也有点健忘,过了3个月才写。

简单说,如果Google网管工具的权限曾经给过别人,后来权限取消了,11月27号晚上这些本已经取消的权限被恢复了。由于我的工作性质,很多网站给过我Google站长工具权限,其中不乏大网站、著名网站,有的是做项目,有的是SEO咨询,有的只是友情帮忙看看,总之要想让我诊断网站情况,免不了要把权限给我。事情完成后,通常权限就取消了。28号中午登录我的Google站长工具时,看到这些本该取消的网站权限又恢复了。上几个当时的抓图。

gg-tools-3-n

从上图可以看到,权限是我登录前14个小时恢复的,我的权限本应该在322天前就取消了。权限被恢复的还有其他人,这也就是我当时不想发帖解释细节的原因之一。

有了权限能干什么坏事呢?首先,可以把真正的站长删了:

gg-tools-4-n

 

不过网站和域名所有权还在真正的主人手里,即使删了权限也肯定是可以解决的。可能更讨厌的是做些不易察觉的东西,比如删除一些页面,甚至整个网站:

gg-tools-5-n

其它的比如取消外链,disavow link,这个功能是Google帮助站长指定取消某些可疑的、不是自己建的、自己不想要又无法删除的外链,但也同样可以取消好的外链。还可以设置个转向,降低个抓取频率什么的。

做些小的改动和删除,原本的站长可能注意不到,尤其是站长没听说这个漏洞的话,看着页面收录减少,排名下降,可能要花很多精力才能发现是怎么回事。好在Google当天就补上漏洞了。

再想到前几天Twitter很多帐号密码被黑,Facebook员工电脑被侵入,网上安全越来越成为头疼的问题了。不过再一想,网络世界也只不过是越来越像线下世界了,线下被偷、被抢、被扒房子、被偷拍视频、被请喝茶、被跨省之类的事更是防不胜防。也就安心了。

------首次发布日期: 2013年02月25日

作者: Zac
版权属于: SEO每天一贴
版权所有。转载时必须以链接形式注明作者和原始出处及本声明。



57 条评论 “Google站长工具(已修复的)安全漏洞补记

  1. 真心向zac前辈请教一个问题:https的网站,对百度收录和排名又什么影响啊,我发现相对于http,https的网页百度几乎不收录,动态的静态的都不收录,求教。

  2. 像Google 站长工具这种东西,code多少行就不说了,没有几个漏洞都不正常,谁能保证代码跟一加一写的那么严禁呢,逻辑谁有能保证百分之百正确?
    不过这么严重的错误确实让人…

留个言呗:

您的邮箱不会被显示在页面上。标有*的是必填项。