Čo je to únos URL a ako mu môžete zabrániť?

Únos URL môže spôsobiť, že vaša webová stránka bude odstránená z indexu vyhľadávača a skrytá pred potenciálnymi návštevníkmi. K tomuto javu dochádza zvyčajne vtedy, keď sa namiesto odkazov používajú presmerovania.

Čo je to únos URL?

Pojem „URL hijacking“ opisuje jav, pri ktorom webová stránka zmizne z výsledkov vyhľadávača a je nahradená inou stránkou. Táto iná stránka odkazuje na skutočnú cieľovú stránku alebo URL pomocou presmerovania. Napríklad linked-site.com odkazuje na your-site.com, ale namiesto bežnej HTML značky <a> používa presmerovanie. Presmerovaná URL vyzerá podobne ako v nasledujúcom príklade:

www.linked-site.com/redirect .php?target=www.your-site.com

Keď vyhľadávač nájde takýto odkaz, kategorizuje odkazovanú stránku a cieľovú stránku ako identické, čo znamená, že jednu z nich vymaže z indexu. Orientuje sa na základe stavových kódov HTTP, ktoré sa pripájajú k presmerovaniu.

Kým kód 301 (trvalo presmerované) označuje trvalé presmerovanie z danej URL adresy, kód 302 (nájdené) označuje dočasné presmerovanie na určenú URL adresu. Prvý typ je bezproblémový, ale presmerovanie 302 je hlavným dôvodom únosu URL. Tieto dobre vyhotovené presmerovania naznačujú vyhľadávaču, že cieľová stránka je len dočasná a že odkazovaná stránka je v skutočnosti originálna – a vyhľadávač nikdy nekontroluje, či sú stránky skutočne prepojené alebo nie. Ak sa to nekontroluje, indexuje sa nesprávna stránka a preberá sa hodnotenie odkazovanej URL.

Kedy sa používajú presmerovania 301 a 302?

Existuje mnoho dôvodov na používanie presmerovania URL. V dôsledku toho je trvalé presmerovanie domén s preklepmi na správnu doménu bežnou praxou. Ak napríklad omylom zadáte do adresného riadka prehliadača googel.com namiesto google.com, aj tak budete presmerovaní na úvodnú stránku obľúbeného vyhľadávača. Trvalé presmerovanie na správnu adresu hlavnej stránky tiež nie je nezvyčajné.

Ak napríklad navštívite hlavnú stránku anglickú verziu Wikipédie a zadáte en.wikipedia.org, budete presmerovaní na en.wikipedia.org/wiki/Main_Page prostredníctvom presmerovania 301. Vývojári tiež používajú trvalé presmerovanie, aby po zmene domény nasmerovali návštevníkov na novú webovú adresu alebo aby identifikovali obsah webového projektu, ktorý dostal novú URL adresu.

Dočasné presmerovania 302 sa naopak používajú predovšetkým na dočasné zobrazenie obsahu z inej URL adresy, aby zostal dostupný, napríklad ak sa pôvodná stránka práve opravuje. Ak vývojár ručne vytvorí tento typ presmerovania, zámerom je, aby sa obsah neskôr opäť zobrazil na pôvodnej URL adrese. Existujú tri scenáre dočasného presmerovania, ktoré môžu viesť k únosu URL adresy, z ktorých jeden sa na tento účel používa zámerne:

Neúmyselné použitie presmerovania 302

Je celkom možné, že vývojári odkazujú na iný webový projekt pomocou dočasného presmerovania bez zlého úmyslu. Môže to byť chyba, keď mali v úmysle nastaviť trvalé presmerovanie. Modul prepisovania URL adresy webového servera Apache, mod_rewrite, nastavuje predvolené presmerovania s kódom stavu 302.

Dynamicky generované URL adresy

PHP je široko používaný skriptovací jazyk pre vývoj webových stránok. Serverové skripty v tomto programovacom jazyku sú jednoduchým a praktickým spôsobom, ako vytvoriť dynamický obsah pre vašu webovú stránku. Často sa však jedná aj o PHP skripty, ktoré dynamicky integrujú cieľové adresy do existujúcej URL adresy pomocou dočasného presmerovacieho kódu 302. Tieto typy skriptov sa používajú hlavne v adresároch webových adries, ale aj v mnohých systémoch na správu obsahu.

Úmyselné presmerovanie URL

Zločinci tiež vedia, ako využiť URL hijacking, a radi to využívajú. Vedome používajú presmerovania 302, aby posunuli svoj vlastný obsah v indexe a „uniesli“ stránky s obzvlášť dobrým hodnotením. Táto taktika nie je ani udržateľná, ani legálna a spadá pod pojem black hat SEO.

Únos URL vs. iné metódy útoku

Únos URL sa často zamieňa s inými metódami útoku, ako je únos domény alebo typosquatting. V skutočnosti ide o rôzne typy útokov, ktoré môžu poškodiť vás alebo hodnotenie vašej webovej stránky.

Únos URL vs. únos domény

Hoci sa únos URL aj únos domény používajú s cieľom získať kontrolu nad webovou stránkou, tieto dve metódy útoku sa líšia, najmä pokiaľ ide o ich prístup:

Únos domény nastáva vtedy, keď útočníci získajú kontrolu nad doménou prostredníctvom prístupu k účtom správy domény, napríklad zmenou nastavení DNS. V najhoršom prípade môžu útočníci prevziať kontrolu nad celou webovou prezentáciou obete.

Únos URL vs. typosquatting

Ako už názov napovedá, technika útoku typosquatting využíva pravopisné chyby. Kým presmerovania sa zvyčajne používajú na to, aby pomohli návštevníkovi dostať sa na požadovanú webovú stránku aj napriek menším pravopisným chybám, typosquatting sa vkradne práve tu. Útočníci zámerne registrujú domény s bežnými pravopisnými chybami, aby nasmerovali návštevníkov na svoju webovú stránku, ktorá často obsahuje škodlivý kód.

Ako chrániť svoju webovú stránku pred únosom URL adresy

Prevádzkovatelia webových stránok, ktorí sa snažia zlepšiť hodnotenie svojich webových stránok, vedia, aký náročný a časovo náročný je tento proces. Čím vyššie sa dostanete v rebríčku vyhľadávačov, tým je pravdepodobnejšie, že vaše indexované stránky budú unesené. Na rozdiel od útoku, ktorý sa deje v dôsledku bezpečnostných medzier vo webovom projekte, proces únosu URL je úzko spojený so základnou disciplínou SEO, ktorou je budovanie odkazov, takže ho nemožno zabrániť len použitím antivírusového softvéru.

V dôsledku toho je nesmierne dôležité pravidelne analyzovať nové aj existujúce spätné odkazy, aby sa odfiltrovali problematické URL adresy. Na tento účel môžete použiť celý rad nástrojov a služieb, medzi ktoré patria:

• SEMrush
• LinkResearchTools
• SISTRIX
• Google Search Console.

Google poskytuje nástroj na odstraňovanie URL adries, ktorý vám umožňuje odstrániť z vyhľadávacieho indexu všetky nežiaduce presmerovania, ktoré odkazujú na vašu webovú stránku. Predtým by ste sa však mali vždy obrátiť na správcu webovej stránky zodpovedného za danú stránku a požiadať ho o úpravu smerovania. Týmto spôsobom je šanca zachovať príslušné spätné odkazy. Stavový kód 307 (Dočasné presmerovanie) má možnosť dočasného presmerovania, ktoré nevedie k únosu URL, ktorá je k dispozícii od verzie HTTP 1.1. Ak pôvodná stránka už chýba v indexe, mali by ste kontaktovať poskytovateľa vyhľadávača a požiadať o obnovenie pôvodného poradia, akonáhle ste prepracovali alebo odstránili poškodený spätný odkaz.