#title XSS で被リンクを獲得する SEO #pragma keywords XSS,クロスサイトスクリプティング,SEO,リンク #pragma description セキュリティホールとして知られるクロスサイトスクリプティング(XSS)を使って SEO に有利な被リンクを獲得することは、努力に見合う成果を得ることは難しい。 {{attachment:xss-and-seo.jpg}} XSS を利用して他人のページに自分のサイトへのリンクを埋め込む方法がある。リンクの獲得は SEO においてベーシックで重要な要素であるためこのテクニックが XSS という負の技術によって成立することが本当に SEO に効果的なのかを考えてみる。 == XSS は SEO の飛び道具か == セキュリティ専門家の予想に反して XSS が SEO の目的で利用されているようです。SEO の観点からはこの戦略が正しいのか間違っているのか何とも言えません(セキュリティの観点から XSS を抱えたサイトに問題があることは明らかです)。 blackhat 達は確かにこの技術を使っており、検索エンジンが彼らのページをインデックスしている。 blackhat はノーマルな被リンクの中にスパイスとして XSS でのリンクを作成するとうまく機能すると言う。XSS だけのリンクでは無意味だということです。XSS は悪意のあるスクリプトを埋め込むことを目的として利用されるますが、SEO の blackhat 達は HTML を挿入します。現在の検索エンジンは XSS で作成されたリンクの信頼性を確かめる方法を持っていないように思います。 == XSS とは == クロスサイトスクリプティング/Cross Site Scripting(XSS) とはフォームに入力された値をそのまま表示してしまう掲示板などのソフトウェアの脆弱性。悪意のあるユーザーは XSS を利用して、スクリプトを埋め込み、サイトのオーナーが作成していない他所のスクリプトを呼び出して実行するよう仕向ける。悪意のあるスクリプトの代表例としてはクッキーの盗聴なんかがある。 SEO が目的の場合 HTML コードを表示するように XSS を利用する。この HTML は自分のサイトへのリンクを作成するコードだ。悪意はない。なぜスクリプトではなくて HTML なのかは SEO について知っている人には理解できるでしょう。 XSS を使った実例をNASAのサイトでご覧ください。 codereading.com というテキストのところにこのサイトのホームページへのリンクがあります。ちなみに実例のページは noindex, nofollow です。 == XSS のページをクロールさせる方法 == 上記の実例のような URL は非常に長いので検索エンジンから無視されるはずです。さらに Google なんかはとても賢くて、検索結果ページのような孤独なページを疑います。 XSS ページをクロールさせる方法は、XSS ページへたくさんリンクすることが考えられます。URL を整えて XSS ページに意味を持たせることです。XSS ページもドメイン名やキーワードを吟味します。場合によっては XSS ページの内容を XSS によって変更できます。 == XSS を利用した SEO に価値があるのか == あるなしの両方です。XSS で挿入したページ(URLやコンテンツ)によって変わるということです。上述した例のように複雑なURLと孤立したページだと XSS ページをインデックスさせるための苦労が大き過ぎます。極めて数少ないサイトが成功させているとは思いますが、相当な SEO マニアでしょう。静的な HTML ページを書き出す CGI で発見した XSS を利用すれば例のページとは異なる効果を見込めるのは確かでしょう。具体的には HTML タグが許可されていないコメントフォームで発見された XSS を利用してリンクを獲得するのです。ただし人気にあるページは管理が行き届いていてあなたの施策は削除される可能性が大きいと思われます。 このテクニックの真実のひとつは「長い URL」「孤立した」「内容のない」ページをインデックスさせるのは困難であり投資に見合う成果が見込めないということです。 == 参考文献 == * Is XSS Good For SEO? http://ha.ckers.org/blog/20070530/is-xss-good-for-seo/ * Cross site scripting a pointless SEO tactic? http://ventureskills.wordpress.com/2007/05/30/cross-site-scripting-a-pointless-seo-tactic/ * XSS - How to get 20 .gov links in 20 minutes http://www.seomoz.org/blog/xss-how-to-get-20-gov-links-in-20-minutes <>