Googleで検索したら日本郵政のドメインの中にめちゃくちゃ怪しいタイトルが多数出てきたのだけどこれはどうやったんだろう?

azu @azu_re

なんかめちゃくちゃ怪しいタイトルがsite:japanpost.jp で出てきた。これどうやったんだろ? pic.twitter.com/TXqMlHz292

拡大

seo-jizo（t.o） @jizo_seo

日本郵政がサイト内検索スパムの餌食に！？ twitter.com/azu_re/status/…

みらる🖖CSS面白い @miral_kashiwagi

ワッ！これが最近噂の検索結果ページを使った、なぞSEOか…… twitter.com/azu_re/status/…

たゆすけ @00489d

例のサイト内検索スパムやん こんなんテロでしかないやんけ twitter.com/azu_re/status/…

フジイユウジ @fujii_yuji

スパマー側もさすがにこんなので利益あげられることもないだろうに、サイト側が対策コストかけさせられるの、ほんとバカバカしいな…… twitter.com/azu_re/status/…

ゆう🌈🖱🐹💕🐰　文鎮端末修理受付中 @mouse_soft_y

@azu_re @ryunosinfx スパムまみれ pic.twitter.com/10UoG6yFzd

拡大

ニーモニック @toro_00

forest.watch.impress.co.jp/docs/news/1056… いっときキリル文字を使ったURLとかの IDNホモグラフ攻撃とかいうのが話題になったけど そういうのかしらね twitter.com/azu_re/status/…

abenico @abenico

@azu_re 郵便番号検索でこのタイトルを検索したリンクをどこかに置くとこうなるのかもしれません。Googleで「"㊙️最新情報を入手するには私のlineを追加"」を検索するとこのリンクと他のサイトの検索画面のリンクも出てきました。

闇ぶいれこ @yami_vreco

入力されたクエリパラメータをそのまま「〇〇の検索結果」とタイトルに出していた頃にクロールされてしまったっぽい。すでに対策済みだが、Googleの検索結果から消えるのは時間かかりそう…… twitter.com/azu_re/status/…

ALIASRHINO @ALIASRHINO

GETメソッド(URL/URIの「?」以降(クエリ文字列)のアレ)で入力された値がそのページ内に直接出るタイプのサイトで、そこにこのような文字列を入れてこれをGoogle君に飲ませると検索結果に入力された文字列が結果として出て来るようになる XSSのリスクもあるけど、このような汚染の原因にもなる twitter.com/azu_re/status/…

にゃんだーすわん @tadsan

これ、XSSでいうところのReflected XSSみたいなやつで、任意の検索キーワードの結果にリンク貼ったりして検索エンジンを誘導すれば任意のワードを検索対象にできるという twitter.com/azu_re/status/…

はまちや２ @Hamachiya2

企業等のサイト内検索とかのGETパラメータにスパム文言を入れて、そのURLで外部からリンクするなどでGoogle検索にインデックスさせて検索結果を汚染するやり口だと思うけど他でもたまに見かけるやつだ twitter.com/azu_re/status/…

はまちや２ @Hamachiya2

サイト内検索の検索ワードならまだしも、GETパラメータの文言そのまま表示してしまうページも結構見かけたりするから(たとえXSSの対策はしていても)、そういう作りだとより悪用しやすいのかもしれないね

はまちや２ @Hamachiya2

例えばエラー表示の内容をパラメータ(msg=エラーです)にしてたりするような仕組みとかなんだけど、今でもたまに見かけるから、そういうサイトなら悪用されやすいかもね

はまちや２ @Hamachiya2

サイト内検索に限って言えば、検索結果がゼロ件だった場合には <meta name="robots" content="noindex"> を入れるとかしとけばマシになるかもしれないね

鯆(いるか) @chalcogens

これそういう事だったのか たまに見かけるけど謎だた twitter.com/Hamachiya2/sta…

Autumn Good @autumn_good_35

数年前から確認されているやつですね。 検索エンジンに捕獲させるために大量リンクを載せたサイト（以前確認したときは改ざんサイトに仕込み）も別に用意されていたりします。 twitter.com/Hamachiya2/sta…

こだ @akoda1982

うーん。なるほど。 変なリンクを仕込んだページを用意して、それをGoogleにクロールさせるとこうなるのか・・・。Googleにインデックスさせるってことは、相当な数の日本郵便への被リンク数を稼ぐために、相当な数の偽サイトを作るのだろうなぁ。 案外、Googleのクローラーの精度はダメですねぇ。 twitter.com/Hamachiya2/sta…

azu @azu_re

見てる: "Firebase利用時に発生しやすい脆弱性とその対策10選 - Flatt Security Tech Blog" blog.flatt.tech/entry/firebase…

ろぼいん@一般人 @keita_roboin

なるほど。サイト内検索の結果にはnoindexを付けないといけないのか twitter.com/azu_re/status/…