Google站长工具(已修复的)安全漏洞补记.doc

Google站长工具（已修复的）安全漏洞补记 我通常每天起床后会先大致浏览一下Google Reader里的博客帖子标题，看看有什么重要新闻。2012年11月28号中午起床后就从英国牛人David Naylor的博客上看到一个吓人的消息，Google站长工具突然出了个安全漏洞，有心人想的话，受影响的网站有可能被从Google中删除或者做些其它破坏，基本上站长工具帐号可能被别人控制。 看完细节后赶紧登录自己的Google网管帐号，果然看到这个漏洞，我自己就能删除一些别人的网站。中午1点左右发了条微博： “Google管理员工具此时此刻有重大安全漏洞，知道漏洞的人可以对某些网站几乎为所欲为。我可以把几十个还挺有名的网站从Google中删除… 当然，我不会这么做。漏洞补上以后再发帖说细节。” 微博发完不一会儿就有很多人问是什么情况，不少人比较担心，所以又补了一条： “为减轻很多人的担心，澄清一下：1）不是所有人的帐号都能看到这个漏洞，应该只是一小部分人。2）不是所有网站都暴露在漏洞下，只是特定情况下。具体什么情况，由于显而易见的原因，漏洞补上后才能发帖说明。3）即使被利用，应该可以补救，毕竟网站是在自己手上。4）不信的可以等几天看博客帖子。” 下午4点钟左右，漏洞被补上了。 本来早该写这个帖子说明一下，实在太忙，人老了，也有点健忘，过了3个月才写。 简单说，如果Google网管工具的权限曾经给过别人，后来权限取消了，11月27号晚上这些本已经取消的权限被恢复了。由于我的工作性质，很多网站给过我Google站长工具权限，其中不乏大网站、著名网站，有的是做项目，有的是SEO咨询，有的只是友情帮忙看看，总之要想让我诊断网站情况，免不了要把权限给我。事情完成后，通常权限就取消了。28号中午登录我的Google站长工具时，看到这些本该取消的网站权限又恢复了。上几个当时的抓图。 从上图可以看到，权限是我登录前14个小时恢复的，我的权限本应该在322天前就取消了。权限被恢复的还有其他人，这也就是我当时不想发帖解释细节的原因之一。 有了权限能干什么坏事呢？首先，可以把真正的站长删了： 不过网站和域名所有权还在真正的主人手里，即使删了权限也肯定是可以解决的。可能更讨厌的是做些不易察觉的东西，比如删除一些页面，甚至整个网站： 其它的比如取消外链，disavow link，这个功能是Google帮助站长指定取消某些可疑的、不是自己建的、自己不想要又无法删除的外链，但也同样可以取消好的外链。还可以设置个转向，降低个抓取频率什么的。 做些小的改动和删除，原本的站长可能注意不到，尤其是站长没听说这个漏洞的话，看着页面收录减少，排名下降，可能要花很多精力才能发现是怎么回事。好在Google当天就补上漏洞了。 再想到前几天Twitter很多帐号密码被黑，Facebook员工电脑被侵入，网上安全越来越成为头疼的问题了。不过再一想，网络世界也只不过是越来越像线下世界了，线下被偷、被抢、被扒房子、被偷拍视频、被请喝茶、被跨省之类的事更是防不胜防。也就安心了。