开放重定向：您的网站有没有被恶意地利用（2）

我的网站被恶意利用了么？

除了上述网址实例外，您的网站还有可能开放了其他重定向方式。即使您本身不是网站程序开发人员，还是有许多简单易行的方法可以检查您的网站是否有被恶意利用的危险：

1检查被滥用的网址是否在谷歌搜索结果中出现。尝试在搜索框中输入［site：您的域名］搜索您的网站，看看是否有您不熟悉的内容出现在搜索结果中。您还可以在搜索词中输入一些按理说不应出现在您内容中的关键词，如商业意味非常重的词汇或是某些 * 词汇。正常情况下，搜索［site：您的域名 某 * 词汇］应该没有结果，但如果您搜索到结果的话，那么您就应该提高警惕了。您可以使用谷歌快讯进行自动搜索检查。

2您也可以留意显示在网站管理员工具热门搜索查询中的看起来不太正常的搜索词。如果您的网站是关于家族谱系学的，但在搜索查询中却大量出现 * 、 * 等词汇，那么这可能是一个危险的信号。另一方面，如果您有一个药物信息的网站，如果某名人的名字频繁出现在您的热门查询中，那么这也是不太正常的。请密切留意网站管理员工具消息中心中来自谷歌的任何信息。

3检查您的服务器日志或网络分析软件包，看看有没有陌生网址参数（比如 ”=http：“ 或 ”=//“）或某段时间某一重定向网址的访问量突然增大的情况。您也可以在网站管理员工具中查看含有外部链接的网页。

4如果有用户抱怨您网站的有不良内容或恶意软件，而您又能极为肯定您的网站肯定不存在这些问题的话，那么您也应该提高警惕。您的用户可能被您域名上的某些网址带到了含有恶意内容的其他网站上，而误以为这些内容是属于您的网站的。

我可以做些什么呢？

遗憾的是，没有一种简单的方法能百分之百地确定您的重定向没有被恶意利用。一个开放的重定向本身不是一个缺陷或安全漏洞，对一些用户来说，重定向需要保持相对开放。但也有一些事情您是可以做的，以防止您的重定向被滥用，或者至少使它们不那么容易成为恶意利用的目标，其中有些可能不是那么简单，您可能需要编写一些自定义代码，或是与您的供应商沟通看看能否使用给系统软件打补丁的方式解决。

1改变重定向代码，增加检查referer的环节。因为在大多数情况下，每个对重定向脚本的合法访问和使用都应当通过您的网站，而不是搜索引擎或其他地方。您可能需要多一些理解，因为一些用户的浏览器可能不会发送referer信息，但如果您发现有用户来自外部网站，您可以予以阻止或警告。

2如果您的脚本本意只是向用户发送内部网页或文件（例如，文件下载的网页） ，您应该明确禁止任何指向外部的重定向。

3考虑制定一个安全目的地网站的名单。在这种情况下，您的代码将记录所有向外重定向的链接，然后在向用户进行重定向之前先根据这个名单进行检查以确保重定向目的地是一个合法的经您许可的网站。

4将您的重定向签名加密。如果您的网站确实需要提供网址重定向，您可以将目标网址打散，并将加密签名作为另外一个参数包含在实施重定向的网址上。这可以使您的网站在做重定向时无需向公众开放你的网址转向器。

5如果重定向功能对您的网站来说可有可无，那么建议您还是禁用或取消重定向功能。我们经常发现，对很多网站来说，网络垃圾制造者是这些网站重定向功能的唯一使用者，这仅仅是因为网站建设初期这项功能被默认为启用，而您对此毫无察觉。

6使用robots.txt将搜索引擎排除在网站重定向脚本之外。尽管这不能完全解决问题，因为攻击者仍然可以在垃圾邮件中使用您的域名，但这样做可以使您的网站不那么容易成为黑客的攻击目标，而且用户也不会被搜索结果中的恶意重定向网址欺骗。如果您的重定向脚本与其他脚本保存在同一个子文件夹里，而且另外的脚本也没有必要出现在搜索结果中的话，建议您将包含脚本的整个子目录对搜索引擎封闭，这将增加攻击者找到您脚本的难度，从而起到保护作用。

7您也可以使用网站管理员工具移除那些被恶意利用的网址。但是，网络垃圾制造者可能还攻击、滥用了其他网站，并产生了大量指向您网站上垃圾网址的链接。如果您看到可疑的网站或垃圾论坛链接到您的网站，可以随时向我们举报网络垃圾，当然我们更欢迎您注册网站管理员工具并提交经过身份验证的垃圾网站举报。

目前，开放重定向的滥用成为一个越来越严重的问题，我们认为，如果更多的网站管理员对此有所了解，就会使攻击者恶意利用的行为变得愈加困难。