Google修复URL移除漏洞，曾致攻击者可随意移除网页索引

Google于2025年第二季度修复了一个漏洞，该漏洞允许匿名攻击者随意从Google搜索中移除任何URL，从而实际造成了一种负面的SEO攻击。该工具可能被利用来破坏竞争对手的排名，方法是从Google的索引中完全删除其URL。新媒网跨境获悉，Google早在2023年就已知晓该漏洞，但直到2025年才采取行动修复。

声誉管理工具遭滥用

新闻自由基金会的一份报告详细描述了一家科技公司CEO试图“审查”记者负面报道的案例，其手段包括采取法律行动以查明记者的消息来源、通过旧金山市检察官发起“恐吓活动”以及发出DMCA移除请求。

尽管如此，记者和新闻自由基金会在法庭上胜诉，相关文章也一直在线，直到它开始通过滥用Google的“移除过期内容”工具而被移除。

通过Google Search Console恢复网页很容易，但滥用行为仍在继续。这促使他们在Google Search Console帮助社区发起讨论。发帖者描述了所发生的情况，并询问是否有办法阻止对该工具的滥用。

该帖子称，攻击者选择文章中不再使用的单词，并以此为由声称文章已过期，应从Google的搜索索引中删除。

以下是Google帮助社区报告中的解释：

“我们有十几篇文章以这种方式被删除。我们可以通过在Google上搜索文章来衡量，在引号中使用标题和站点名称。它显示没有返回任何结果。然后，我们转到GSC，发现它在过期内容删除下已被“批准”。我们取消该请求。片刻之后，相同的搜索会显示已编入索引的文章。这是我们第五次看到这种情况发生。”

四百篇文章被取消索引

这起事件是对网站的恶意攻击，但Google显然无法采取任何措施阻止这种滥用行为，使用户处于非常不利的境地。

在一个后续帖子中，他们解释了这种持续的负面SEO攻击所造成的破坏性影响：

“每周都有数十个页面被取消索引，我们必须每天检查GSC，看看是否还有其他内容被删除，然后恢复这些内容。我们已经有400多篇文章被取消索引，所有这些文章仍然在我们的网站上。有人通过公共删除工具提交了它们，然后它们就被取消索引了。”

Google承诺会进行调查

他们询问是否有办法阻止攻击，Google的Danny Sullivan回应说：

“谢谢——再次说明，对于您看到删除发生的页面，没有任何阻止机制。”

Danny在后续帖子中回应说，他们将对此进行调查：

“该工具旨在删除不再有效的链接或不再反映实时内容的摘要。我们将对此进行进一步调查。”

Google工具如何被利用

最初的报告称，这种负面的SEO攻击利用了内容中更改的单词来提交成功的过期内容删除请求。

但后来他们似乎发现使用了另一种攻击方法。

Google的过期内容删除工具区分大小写，这意味着如果您提交包含大写字母的URL，则爬虫会专门检查大写版本，如果服务器返回404未找到错误响应，Google将删除所有版本的URL。

新闻自由基金会写道，该工具不区分大小写，但这并不完全正确，因为如果它不区分大小写，则大小写无关紧要。但大小写确实很重要，这意味着它区分大小写。

顺便说一句，攻击的受害者可以通过将所有对大写URL的请求重写为小写，并在整个网站上强制执行小写URL来创建一个解决方法。

这就是攻击者利用的缺陷。因此，虽然该工具区分大小写，但在系统的某个时刻，Google的删除系统不区分大小写，这导致正确的URL被删除。

以下是新闻自由基金会对此的描述：

“我们的文章……通过一种以前未公开记录的新颖策略从Google搜索中消失：持续和协调地滥用Google的“刷新过期内容”工具。该工具本应允许那些不是网站所有者的人请求从搜索结果中删除不再有效的网页（返回“404错误”），或者请求更新搜索以查找在返回结果中显示过时或过期信息的网页。然而，直到最近，恶意行为者可以通过提交与目标文章相似但导致“404错误”的URL的删除请求来删除合法文章。通过更改URL slug的大小写，恶意行为者显然可以利用Google的自动内容删除系统中不区分大小写的漏洞。”

其他网站也受到此漏洞的影响

Google回应新闻自由基金会，承认此漏洞确实影响了其他网站。

据外媒报道，Google表示这个问题只影响了“极小部分的网站”，并且错误地受到影响的网站已恢复。

Google通过电子邮件回应，指出此漏洞已得到修复。

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/8916.html