一、什么是搜索引擎投毒？

搜索引擎投毒这种攻击，能够利用搜索引擎来显示搜索结果，该结果包含着对交付恶意软件的网站的一个或多个引用。有多种方法可以执行搜索引擎投毒，其中包括控制流行网站、使用搜索引擎的“赞助”链接，其目的都是为了链接到恶意网站，进而注入恶意代码。

此外，攻击者通过操纵搜索引擎来返回搜索结果（该结果包含着对感染了跨站脚本的网站的引用），也可以实施搜索引擎投毒。受感染的网页将轻信的用户重新定向到恶意网站。在该用户点击这些链接时，其计算机就有可能感染恶意软件。这种伎俩很不一般，因为它并不要求攻击者控制或攻入任何服务器。

二、攻击原理与步骤

首先，攻击者搭建一台在收到请求后就交付恶意软件的服务器。可通过不同的方法来交付恶意软件，如通过一个能够利用浏览器漏洞的HTML页面或其它方法。

然后，攻击者获得一系列易于遭受跨站脚本攻击的URL。为了产生攻击效果，这些URL必须从搜索引擎给出的搜索结果中排名靠前的域名中取得。攻击者通常会通过搜索引擎查找一些专门伪造的搜索词，这些搜索词往往能够泄露特定漏洞的存在。

下一步，攻击者使用这些URL，根据有漏洞的URL创建大量的专门伪造的URL，其中包括目标关键词和一段能够与恶意软件交付服务器进行交互的脚本。

然后，攻击者获得一个支持简单用户内容生成的应用程序清单，如一些论坛程序。攻击者会用各种专门仿造的URL，使网页的内容泛滥，并有可能包含多个链接，并使其接受不同的应用程序。

此后，流行的搜索引擎在扫描整个web，就会选取专门伪造的URL，并跟踪这些URL，进而对这些网页进行索引。其结果是，目标关键词与专门伪造的URL发生了关联。由于攻击者选取了高优先级的域名作为开始，而且由于对这些URL的大量引用，受到“投毒”的搜索结果的排名当然就靠前了。

最后，搜索这些关键词且容易轻信的用户单击这些URL中的一个链接，其计算机便容易被感染恶意软件。

总之，搜索引擎投毒易于实施，却难被搜索引擎检测到。这种伎俩的目标是诱导无辜的搜索者到达恶意网站或欺诈网站。例如，攻击者利用机器人程序生成大量的用户名，在论坛上彼此发布拥有许多链接的帖子进行讨论，显得不亦乐乎。对搜索引擎来说，这倒是一个好事儿，既然有这么多用户牵涉进来，因而搜索引擎便把这种网页放在显赫的位置。在某个用户单击了其中的某个链接后，就会打开一个链接到色情或购物网站的网页。在用户再次单击后，该链接就会将恶意软件安装到用户的计算机上，进而对用户实施欺诈或其它犯罪活动。

三、防范

攻击者以这种方式滥用网站可以导致企业的商誉和品牌受到破坏，丢失客户和潜在的访客。而且，这种攻击对网站的可访问性造成明显的负面影响，这会导致搜索引擎将URL引用标记为“有害”或“危险”，甚至被完全地从搜索索引中删除，从而使企业遭受严重的经济损失。

从管理层面来说，系统管理员可以使用一个具备“黑名单”功能的安全网关，截获被列入“黑名单”的网站上的所有通信，从而阻止一些不确定的或具有潜在威胁的URL分类，从而阻止搜索引擎投毒的危害。此外，保护好公司自己的网站（博客和用户论坛）也很重要，因为这样做就不会使其成为搜索引擎投毒的帮凶。保护Web应用程序免受XSS攻击可以防止这些网站被攻击者用作发动搜索引擎投毒的媒介。

从用户层面来说，防止搜索引擎投毒攻击要从提升搜索用户的认识水平开始。研究发现，虽然许多人已经理解在邮件中可能包含恶意软件，却并未认识到在上网搜索时，其搜索结果也有可能是不安全的。企业必须教育雇员不能访问色情、赌博等网站，在搜索信息时，要尽量使用知名网站上的URL。

仅有防火墙或反病毒软件对于防护动态变化的恶意软件及其灵活多变的交付方式是不够的。相反，企业需要实时的保护情报，基于云的Web防御可以快速地适应新的威胁，应当作为企业的首选方案。