Полезная панель вебмастера Яндекса, или не настоящие XSS уязвимости

Сегодня мы получили чудесное письмо от робота Яндекса о том, что на сайте найдена XSS уязвимость:

Ваш сайт www.!!.ru, права на который вы подтвердили в сервисе Яндекс.Вебмастер, возможно, подвергся XSS-атаке и используется для создания мусорных страниц и ссылок на посторонние сайты.
Подробнее про XSS-атаки можно прочитать здесь: http://ru.wikipedia.org/wiki/XSS
Примеры обнаруженных нашими алгоритмами страниц приведены ниже:

http://www.!!.ru/?searchstring=%22%27%3E%3Ca%20href%3D%0Dhttp%3A%2F%2Frektor.org%3E%EA%F3%EB%FC%F2%F3%F0%E0%20%F0%E5%F4%E5%F0%E0%F2%FB%3C%2Fa%3E

http://www.!!.ru/?searchstring=%22%27%3E%3Ca%20href%3Dhttp%3A%2F%2Fishu-rabotu.info%3Eishu-rabotu.info%3C%2Fa%3E

http://www.!!.ru/?searchstring=+%3ca%20href%3Dhttp%3A%2F%2Fmnogopix.ru%3ewww.pijama.ru%3c%2Fa%3e+

Наличие подобных страниц может привести к уменьшению числа переходов на ваш сайт с поиска Яндекса. Просим вас закрыть от индексации потенциально уязвимые страницы, например, результаты поиска по вашему сайту, в robots.txt.

Проанализировав ситуацию, мы решили оспорить данный момент, и отписали в техподдержку Яндекса следующий ответ:

Здравствуйте!

Мне пришло автоматическое письмо (прилагаю текст письма ниже).

Однако, прошу заметить, что робот Яндекса выдал ошибку.

В нашем случае это не XSS: при XSS данные, которые указываются в url, должны выводится на уязвимой странице, в данном случае при http://www.!!.ru/?searchstring=123123123123 этого текста на странице не появляется. Так же не появляется любой текст или вредоносный код и по всем приведенным в примерах ссылкам.

Суть уязвимости XSS — в том, чтобы на странице уязвимого сайта выводить html текст, подключать через теги другие странницы и тп. у нас этого нет.

Вот пример уязвимости:

http://www.l-gifts.ru/view_catalog.php?tovarst=%22%3E%3Ca+href=http://shop-child.ru%3E%E4%E5%F2%F1%EA%E8%E5%20%E0%E2%F2%EE%EA%F0%E5%F1%EB%E0,%20%E0%E2%F2%EE%EA%F0%E5%F1%EB%EE%20%E4%E5%F2%F1%EA%EE%E5%3C%2Fa%3E

А то, что нашел робот Яндекса — это страницы автоботов, которые тупо сканят интернет и пробуют в get переменные подставлять XSS и смотрят будет работать или нет. Таких ботов много, но по всем ссылкам, что они пробуют подставить XSS — у нас на страницах ничего левого не выводится.

Прошу перепроверить работу фильтров робота или подсказать, действительно ли робот прав.

Уже к вечеру у нас на руках появился ответ суппорта Яндекса, подтверждающий наши мысли относительно псевдо уязвимости XSS:

Уязвимость на Вашем сайте действительно отсутствует. Дело в том, что наш робот
реагирует исключительно на содержание URL’а. Если он обнаруживает на сайте
страницы, содержавшие попытки (пусть неудачные) XSS-атаки, он присылает
владельцу сайта соответствующее сообщение, дабы обратить его внимание на
данный факт. Никаких санкций на сайт за этим не следует.

Так как при сегодняшних настройках сайта XSS-атака на него не пройдет, то,
чтобы не получать сообщений о ней в дальнейшем, Вы можете отключить их в
настройках Вебмастера ( http://webmaster.yandex.ru/settings/messages/types.xml
). Также можно запретить в robots.txt страницы, содержащие в тексте URL’а
характерные тэги, например:

Disallow: /*href

Разумеется, www.!!.ru — не продвигаемый нами сайт.

Читайте также

Устранение Ты последний (фильтр Яндекса) и Supplemental results (фильтр Google) Отношение Яндекса к партнерской программе, официальный ответ техподдержки (Платона Щукина) Если в поиске непонятно откуда взявшийся текст, или что делать, если сниппет в выдаче Яндекса отсутствует в тексте Смена алгоритма Яндекса — итоги