今天我发现了Z-Blog的URL转发文件存在一个漏洞,黑帽SEO通过这个漏洞可以欺骗反垃圾引擎而在类似维基百科这样的站点进行恶意SPAM。
Z-Blog的反垃圾留言设计为通过加密URL地址进行转发,链接转发的文件名是c_urlredirect.asp,通过这个文件的参数转发不同的URL链接地址,但是加密的方法极其简单,只要将奇数字节拼合即可解密,因此,黑帽SEO通过拼合这个地址,将其他Z-Blog网站上的转发链接功能变成调用自己网址的功能,这样,即使其原始URL地址在维基百科被屏蔽或者惩罚,他们也可以通过这种转发的方式继续在维基百科制造垃圾链接。
解决这种黑帽SEO的方法,通过删除c_urlredirect.asp可以避免,但会导致博客正常作者留下的链接地址无法点击。通常可以使用修改代码的方法解决,在c_urlredirect.asp文件中,加入以下几行代码,这样,当黑帽SEO在其他网站制造URL转发链接的时候,页面就不会跳转,从而修复了这个漏洞。
strReferer=CStr(Request.ServerVariables("HTTP_REFERER"))
If Instr(strReferer,ZC_BLOG_HOST)=0 Then
ShowError(5)
End If
建议所有使用Z-Blog的用户,请立刻在你的c_urlredirect.asp中加入以上代码,否则有可能会被不法之徒利用其做坏事,我在维基百科的Spam blacklist里,已经发现不少Z-Blog博客的域名被列入了黑名单,包括我的域名在内,所有的操作都是一个黑帽SEO在10月底11月初的时候,通过一个韩国的VPN代理上维基百科进行的恶意SPAM操作,这些黑帽SEO尽在那里做一些损人不利己的事情,实在是中国网络界的一个羞耻。
另外建议维基百科在屏蔽垃圾链接的时候,对于这种黑帽SEO的恶意操作,不要屏蔽无辜的站点,比如我和另外几个Z-Blog博客的地址都被这个黑帽SEO利用,结果我们的域名都被维基百科屏蔽,而且该黑帽SEO还可以通过这个方法陷害更多使用Z-Blog的网站。我建议维基百科可以屏蔽c_urlredirect.asp这个地址,这样通过这种方法进行发送垃圾链接就会无效了,这样就可以避免错杀无辜了。
更新:Z-Blog官方站点已经出了补丁文件,点这里访问。