一、什么是搜索引擎投毒？

搜索引擎投毒這種攻擊，能夠利用搜索引擎來顯示搜索結(jié)果，該結(jié)果包含著對交付惡意軟件的網(wǎng)站的一個或多個引用。有多種方法可以執(zhí)行搜索引擎投毒，其中包括控制流行網(wǎng)站、使用搜索引擎的“贊助”鏈接，其目的都是為了鏈接到惡意網(wǎng)站，進而注入惡意代碼。

此外，攻擊者通過操縱搜索引擎來返回搜索結(jié)果（該結(jié)果包含著對感染了跨站腳本的網(wǎng)站的引用），也可以實施搜索引擎投毒。受感染的網(wǎng)頁將輕信的用戶重新定向到惡意網(wǎng)站。在該用戶點擊這些鏈接時，其計算機就有可能感染惡意軟件。這種伎倆很不一般，因為它并不要求攻擊者控制或攻入任何服務(wù)器。

二、攻擊原理與步驟

首先，攻擊者搭建一臺在收到請求后就交付惡意軟件的服務(wù)器?？赏ㄟ^不同的方法來交付惡意軟件，如通過一個能夠利用瀏覽器漏洞的HTML頁面或其它方法。

然后，攻擊者獲得一系列易于遭受跨站腳本攻擊的URL。為了產(chǎn)生攻擊效果，這些URL必須從搜索引擎給出的搜索結(jié)果中排名靠前的域名中取得。攻擊者通常會通過搜索引擎查找一些專門偽造的搜索詞，這些搜索詞往往能夠泄露特定漏洞的存在。

下一步，攻擊者使用這些URL，根據(jù)有漏洞的URL創(chuàng)建大量的專門偽造的URL，其中包括目標(biāo)關(guān)鍵詞和一段能夠與惡意軟件交付服務(wù)器進行交互的腳本。

然后，攻擊者獲得一個支持簡單用戶內(nèi)容生成的應(yīng)用程序清單，如一些論壇程序。攻擊者會用各種專門仿造的URL，使網(wǎng)頁的內(nèi)容泛濫，并有可能包含多個鏈接，并使其接受不同的應(yīng)用程序。

此后，流行的搜索引擎在掃描整個web，就會選取專門偽造的URL，并跟蹤這些URL，進而對這些網(wǎng)頁進行索引。其結(jié)果是，目標(biāo)關(guān)鍵詞與專門偽造的URL發(fā)生了關(guān)聯(lián)。由于攻擊者選取了高優(yōu)先級的域名作為開始，而且由于對這些URL的大量引用，受到“投毒”的搜索結(jié)果的排名當(dāng)然就靠前了。

最后，搜索這些關(guān)鍵詞且容易輕信的用戶單擊這些URL中的一個鏈接，其計算機便容易被感染惡意軟件。

總之，搜索引擎投毒易于實施，卻難被搜索引擎檢測到。這種伎倆的目標(biāo)是誘導(dǎo)無辜的搜索者到達惡意網(wǎng)站或欺詐網(wǎng)站。例如，攻擊者利用機器人程序生成大量的用戶名，在論壇上彼此發(fā)布擁有許多鏈接的帖子進行討論，顯得不亦樂乎。對搜索引擎來說，這倒是一個好事兒，既然有這么多用戶牽涉進來，因而搜索引擎便把這種網(wǎng)頁放在顯赫的位置。在某個用戶單擊了其中的某個鏈接后，就會打開一個鏈接到色情或購物網(wǎng)站的網(wǎng)頁。在用戶再次單擊后，該鏈接就會將惡意軟件安裝到用戶的計算機上，進而對用戶實施欺詐或其它犯罪活動。

三、防范

攻擊者以這種方式濫用網(wǎng)站可以導(dǎo)致企業(yè)的商譽和品牌受到破壞，丟失客戶和潛在的訪客。而且，這種攻擊對網(wǎng)站的可訪問性造成明顯的負(fù)面影響，這會導(dǎo)致搜索引擎將URL引用標(biāo)記為“有害”或“危險”，甚至被完全地從搜索索引中刪除，從而使企業(yè)遭受嚴(yán)重的經(jīng)濟損失。

從管理層面來說，系統(tǒng)管理員可以使用一個具備“黑名單”功能的安全網(wǎng)關(guān)，截獲被列入“黑名單”的網(wǎng)站上的所有通信，從而阻止一些不確定的或具有潛在威脅的URL分類，從而阻止搜索引擎投毒的危害。此外，保護好公司自己的網(wǎng)站（博客和用戶論壇）也很重要，因為這樣做就不會使其成為搜索引擎投毒的幫兇。保護Web應(yīng)用程序免受XSS攻擊可以防止這些網(wǎng)站被攻擊者用作發(fā)動搜索引擎投毒的媒介。

從用戶層面來說，防止搜索引擎投毒攻擊要從提升搜索用戶的認(rèn)識水平開始。研究發(fā)現(xiàn)，雖然許多人已經(jīng)理解在郵件中可能包含惡意軟件，卻并未認(rèn)識到在上網(wǎng)搜索時，其搜索結(jié)果也有可能是不安全的。企業(yè)必須教育雇員不能訪問色情、賭博等網(wǎng)站，在搜索信息時，要盡量使用知名網(wǎng)站上的URL。

僅有防火墻或反病毒軟件對于防護動態(tài)變化的惡意軟件及其靈活多變的交付方式是不夠的。相反，企業(yè)需要實時的保護情報，基于云的Web防御可以快速地適應(yīng)新的威脅，應(yīng)當(dāng)作為企業(yè)的首選方案。