谷歌修复严重漏洞：攻击者曾可匿名移除你网站的谷歌索引

近日，谷歌修复了一个引发关注的漏洞：攻击者曾可匿名滥用谷歌的“移除过时内容”工具（Remove Outdated Content Tool），导致原本正常的网页被从搜索结果中下架。

被滥用的工具：Remove Outdated Content Tool

该工具的初衷是允许用户请求删除搜索结果中已不存在或显示过时信息的网页片段。然而，这一功能却被滥用于“负面SEO”目的。自由新闻基金会披露，一位科技公司CEO试图借此打压媒体报道，通过反复提交删除请求，成功让不利文章在谷歌中下架。

攻击原理：利用URL大小写敏感性

根据披露，这一攻击方式涉及谷歌对URL处理的细节问题：攻击者提交一个仅在大小写上与原始URL略有不同的链接（例如将/Article写为/article），并故意令该URL返回404错误。

谷歌系统随后会错误地认定整个页面不存在，从而将真实存在的网页也一并移出索引。虽然部分系统环节对URL是大小写不敏感的，但在处理删除请求时却表现为敏感，这种“边缘不一致性”被攻击者所利用。

攻击后果：400篇文章遭删除

谷歌搜索控制台（GSC）帮助论坛上，一位用户指出其网站已有超过400篇文章因该漏洞被移除。他表示：“我们每天都要检查GSC，恢复被删除的页面……这已经是第五次出现同样的问题。”

谷歌回应与修复

新闻自由基金会的一份报告表示：

然而，直到最近，恶意行为者仍可以通过提交与目标文章相似的 URL 删除请求来删除合法文章，但会导致“404 错误”。通过更改 URL 段的大小写，恶意行为者显然可以利用 Google 自动内容删除系统中不区分大小写的漏洞。

我们那篇关于针对波尔森的审查行动的文章就遭遇了同样的情况。有人举报了该文章网址的无效变体，并要求将其从谷歌搜索结果中移除。谷歌的爬虫在举报后遇到了“404错误”，它不仅取消了被举报网址的索引，还错误地从搜索结果中移除了这篇仍在运行的有效文章，甚至可能连同该网址的所有其他变体一起被移除。

每次我们的原始文章被谷歌重新收录时，总会有人提交新的移除请求，要求对 URL 的 slug 进行略微修改，使其大小写异常，从而触发相同的流程，如此循环往复。这种循环使得提交报告的人不断地将我们的文章从搜索结果中屏蔽——最终变成了一场数字版的打地鼠游戏。

谷歌搜索发言人 Danny Sullivan 在社区回应称：“这些页面没有任何防护机制能阻止此类请求……我们将进一步调查。”随后谷歌通过官方邮件确认漏洞已修复，并表示已将受影响页面重新恢复。