Niemand möchte in seiner Domain Malware oder Spam-URLs sehen. Daher befolgen wir alle die besten Vorgehensweisen in Bezug auf Sicherheit. Einige Spammer können Ihre Website jedoch mithilfe von offenen Weiterleitungs-URLs missbrauchen.
In vielen Situationen kann es hilfreich sein, Nutzer auf eine andere Seite weiterzuleiten. Leider können offene Weiterleitungen, die zu einem willkürlichen Ziel führen, missbraucht werden. Dies ist eine besonders ärgerliche Form des Missbrauchs, da sie eher die Funktion Ihrer Website als einen einfachen Fehler oder eine Sicherheitsschwachstelle ausnutzt. Spammer hoffen darauf, Ihre Domain als eine temporäre "Zielseite" nutzen zu können, um E-Mail-Nutzer, Sucher und Suchmaschinen mit Folgelinks hereinzulegen, die anscheinend auf Ihre Website verweisen, jedoch tatsächlich auf deren Spam-Website weiterleiten.
Google arbeitet hart daran, die missbrauchten URLs aus unserem Index zu entfernen, Ihr Webmaster muss jedoch sicherstellen, dass Ihre Website nicht in dieser Art und Weise verwendet wird. Niemand möchte, dass Nutzer URLs auf Ihrer Domain finden, die sie zu unerwünschten Porno-Websites, gefährlichen Viren und Malware oder Phishing-Websites weiterleiten. Spammer erzeugen Links, damit die Weiterleitungen in den Suchergebnissen angezeigt werden. Diese Links kommen meist von Stellen, mit denen Sie nicht in Verbindung gebracht werden möchten.
Von Spammern missbrauchte Weiterleitungen
Wir haben beobachtet, dass Spammer es auf eine Vielzahl von Websites abgesehen haben - von großen bekannten Unternehmen bis hin zu kleinen regionalen Regierungsbehörden. Die folgende Liste enthält Beispiele für Weiterleitungen, die wir bereits gefunden haben. Dies sind alles rechtmäßige Vorgehensweisen. Wenn diese Weiterleitungen jedoch auf Ihrer Website verwendet werden, sollten Sie aufpassen, ob sie missbraucht werden.- Skripts, die Nutzer an eine Datei auf dem Server weiterleiten, wie beispielsweise ein PDF-Dokument, können oftmals Schwachstellen aufweisen. Wenn Sie ein Content-Management-System (CMS) verwenden, das Ihnen ermöglicht, Dateien hochzuladen, ziehen Sie in Betracht, Links direkt zu der Datei zu erstellen und keine Weiterleitung zu verwenden. Dies beinhaltet alle Weiterleitungen, die im Downloadbereich Ihrer Website angezeigt werden. Achten Sie auf Links wie die folgenden:
example.com/go.php?url= example.com/ie/ie40/download/?
- Suchergebnisseiten von internen Websites, die oftmals potenziell gefährdete Optionen für automatische Weiterleitungen enthalten. Suchen Sie nach diesen Mustern, bei denen Nutzer automatisch nach dem
url=-Parameter an eine beliebige Seite weitergeleitet werden:example.com/search?q=user+search+keywords&url=
- Systeme zum Nachverfolgen von Klicks für Partnerprogramme, Werbeprogramme oder Websitestatistiken können ebenfalls offen sein. Einige Beispiel-URLs enthalten:
example.com/coupon.jsp?code=ABCDEF&url= example.com/cs.html?url=
- Proxy-Websites sind, auch wenn es sich technisch nicht immer um Weiterleitungen handelt, dazu entwickelt, Nutzer an andere Websites weiterzuleiten und sind dadurch ebenfalls anfällig für Missbrauch. Dies beinhaltet Websites, die von Schulen und Bibliotheken verwendet werden. Beispiel:
proxy.example.com/?url=
- In einigen Fällen leiten Anmeldeseiten Nutzer zurück zu der Seite, auf die sie versucht haben zuzugreifen. Halten Sie Ausschau nach folgenden URL-Parametern:
example.com/login?url=
- Skripts, die eine Interstitial-Seite öffnen, wenn Nutzer eine Website verlassen, können missbraucht werden. Dies ist bei vielen Websites von Lehranstalten, Regierungsbehörden und großen Unternehmen der Fall, um die Nutzer wissen zu lassen, dass Informationen unter Links zu anderen Websites nicht von ihnen kontrolliert werden. Suchen Sie nach folgenden URL-Mustern:
example.com/redirect/ example.com/out? example.com/cgi-bin/redirect.cgi?
Wird Ihre Website missbraucht?
Auch wenn Ihnen keines der obigen Muster vertraut ist, kann Ihre Website über offene Weiterleitungen verfügen, die Sie beobachten sollten. Es gibt viele Möglichkeiten herauszufinden, ob Ihre Website über Schwachstellen verfügt, auch wenn Sie selbst kein Entwickler sind.
- Prüfen Sie, ob missbrauchte URLs in Google angezeigt werden. Versuchen Sie eine Suche mithilfe des Parameters site: search nach der Domain Ihrer Website, um herauszufinden, ob unbekannte Daten in den Google-Ergebnissen für Ihre Website angezeigt werden. Sie können Wörter zu der Abfrage hinzufügen, die wahrscheinlich nicht in Ihrem Content vorkommen, wie beispielsweise kommerzielle oder nicht jugendfreie Begriffe. Wenn die Abfrage [site:example.com viagra] keine Seiten auf Ihrer Website zurückgeben sollte, dies aber trotzdem der Fall ist, könnte dies auf ein Problem hinweisen. Sie können diese Suchen sogar mit Google Alerts automatisieren.
- Sie können außerdem auf seltsame Anfragen achten, die im Abschnitt Suchanfragen in Webmaster-Tools angezeigt werden. Wenn Sie eine Website über die Genealogie des Landadels besitzen, könnten viele Anfragen nach Pornografie, Medikamenten oder Spielbanken ein Warnhinweis sein. Wenn Sie auf der anderen Seite eine Informationswebsite für Arzneimittel besitzen, erwarten Sie wahrscheinlich keine Namen von Prominenten in Ihren beliebtesten Suchanfragen. Achten Sie auf Nachrichten von Google im Nachrichten-Center von Webmaster-Tools.
- Prüfen Sie Ihre Serverprotokolle oder Ihr Webanalysepaket auf nicht bekannte URL-Parameter wie
=http:oder=//oder hohen Besucherzahlen über Weiterleitungs-URLs auf Ihrer Website. Sie können auch Seiten mit externen Links in Webmaster-Tools prüfen. - Achten Sie auf Beschwerden von Nutzern über Content oder Malware, wo Sie sicher sind, dass diese Informationen nicht auf Ihrer Website gefunden werden können. Ihre Nutzer haben möglicherweise Ihre Domain in der URL gesehen, bevor sie weitergeleitet wurden, und haben angenommen, dass sie sich immer noch auf Ihrer Website befunden haben.
Was Sie tun können
Leider können Sie nicht so einfach sicherstellen, dass Ihre Weiterleitungen nicht missbraucht werden. Eine offene Weiterleitung ist an sich weder ein Fehler noch eine Sicherheitslücke - für einige Nutzer müssen sie einigermaßen offen sein. Es gibt jedoch einige Dinge, die Sie tun können, um zu verhindern, dass Ihre Weiterleitungen missbraucht werden oder um sie zumindest zu weniger attraktiven Zielen zu machen. Einige dieser Dinge sind nicht so leicht umzusetzen: Sie müssen möglicherweise einen benutzerdefinierten Code schreiben oder mit Ihrem Anbieter die Veröffentlichung eines Patches diskutieren.
- Ändern Sie den Weiterleitungscode, um die Herkunft zu prüfen, da in den meisten Fällen jeder, der auf Ihr Weiterleitungsskript stößt, von Ihrer Website kommen sollte und nicht von einer Suchmaschine etc. Sie müssen möglicherweise tolerant sein, da die Browser einiger Nutzer die Herkunft nicht melden. Wenn Sie aber wissen, dass ein Nutzer von einer externen Website auf Ihre Website zugreift, können Sie ihn stoppen oder warnen.
- Wenn Ihr Skript Nutzer nur zu einer internen Seite oder Datei weiterleiten sollte, wie beispielsweise eine Seite mit Dateidownloads, sollten Sie externe Weiterleitungen nicht zulassen.
- Verwenden Sie beispielsweise eine Positivliste (Whitelist) mit sicheren Zielen. In diesem Fall würde Ihr Code alle ausgehenden Links speichern und dann eine Überprüfung durchführen, um sicherzustellen, dass es sich bei der Weiterleitung um ein rechtmäßiges Ziel handelt, bevor der Nutzer weitergeleitet wird.
- Ziehen Sie eine Kennzeichnung Ihrer Weiterleitungen in Betracht. Wenn Ihre Website nicht unbedingt URL-Weiterleitungen enthalten muss, können Sie die Ziel-URL korrekt trennen und anschließend die kryptografische Signatur als weiteren Parameter einfügen, wenn Sie die Weiterleitung ausführen. So kann Ihre eigene Website URL-Weiterleitungen ausführen, ohne Ihr URL-Weiterleitungselement der Öffentlichkeit preiszugeben.
- Wenn Ihre Website dies wirklich nicht nutzt, deaktivieren oder entfernen Sie die Weiterleitung. Wir haben eine große Anzahl an Websites gefunden, auf denen Weiterleitungen nur von Spammern verwendet werden. Dies ist wahrscheinlich nur eine Funktion, die standardmäßig aktiviert geblieben ist.
- Verwenden Sie die "robots.txt"-Datei, um Suchmaschinen aus den Weiterleitungsskripts auf Ihrer Website auszuschließen. So wird das Problem allerdings nicht vollständig behoben, da Angreifer Ihre Domain noch immer in E-Mail-Spam verwenden könnten. Ihre Website wird jedoch weniger attraktiv für Angreifer, und Nutzer werden nicht über Suchergebnisse hereingelegt. Wenn Ihre Weiterleitungsskripts in einem Unterordner mit anderen Skripts gespeichert sind, die nicht in den Suchergebnissen angezeigt werden müssen, macht es der Ausschluss des gesamten Unterordners noch schwieriger für Spammer, Weiterleitungsskripts zu finden.
- Sie können Webmaster-Tools auch verwenden, um URLs zu entfernen. Es besteht die Möglichkeit, dass die Spammer auch andere Websites gehackt und missbraucht haben, um Links auf den gespammten Bereich Ihrer Website zu erstellen. Wenn Sie verdächtige Websites entdecken oder melden Sie dies an uns, vorzugsweise über das Formular zum Melden von überprüftem Spam in Webmaster-Tools.