近期,瑞星互联网攻防尝试室截获了一例操纵script脚本进行Web劫持的报复打击案例,在该案例中,黑客操纵一批新闻页面重置了搜刮引擎页面,并将搜刮成果替代为本身建造的假页面,以达到歹意奉行的目标。瑞星安然专家暗示,这类Web劫持在国内尚属首例,同时也很是危险,用户略不寄望便可能进进黑客建造的垂钓页面,从而被骗取财帛及隐私信息。是以,广大年夜用户在上彀时应随时保持警戒,一旦发现页面内容呈现异常,应顿时查对地点页面的网址,以避免被骗被骗。
瑞星安然专家指出,该类新型Web劫持是操纵script脚本实现的。在已知的案例中,黑客进侵了某处所门户网站,窜改了该网站的新闻页面,并向这些页面植进本身的告白、新闻及歹意代码。一旦用户从搜刮成果页面点击进进被窜悔改的新闻页面,script脚本就会用假页面置换原搜刮成果页面。因为该黑客利用了与原搜刮引擎极其近似的域名,并禁止浏览器的撤退撤退功能退回原页面,所以一般用户很难发觉本身打开的网站已被调包了。
图1:原搜刮成果页面
图2:被黑客植进歹意代码的新闻页面
图3:被劫持后主动跳转的假页面
瑞星安然专家暗示,这类新型Web劫持很是危险,此后还有可能有更多网站遭受劫持,此中搜刮引擎、金融、电商和票务等网站可能成为高危报复打击方针。它可以或许悄无声气地替代用户打开的肆意页面,在用户觉得本身仍在浏览常常利用网站时,却落进了黑客的骗局,受害的用户将在尽不知情的环境下被套取财帛及小我隐私信息。是以,瑞星安然专家再次提示广大年夜用户,浏览网站时,页面呈现任何不合泛泛的改变都要警戒,同时细心查对页面地址,以避免蒙受不需要的损掉。
附:瑞星互联网攻防尝试室《Web劫持搜刮页面阐发陈述》
Web劫持搜刮页面阐发陈述
现象阐发
地址:
http://www.百度.com/s?wd=%D0%C2%B6%BC%C7%C5%BB%E9%C9%B4%C9%E3%D3%B0%C4%C4%BC%D2%BA%C3--%CE%AB%B7%BB%D0%C2%CE%C5%CD%F8
打开今后页面为正常页面。
附图1:原页面
在这个页面中,点击域名是www.wfnews.com.cn或www.cnncw.cn的网站,会打开一个选项卡往拜候方针页面。
附图2:点击的方针页面
可是随后能就发现之前的页面已变成了一个其他网站的地址:
http://www.百度.com.xnb391ax506c.com.百度xu.com/s/?wd=%D0%C2%B6%BC%C7%C5%BB%E9%C9%B4%C9%E3%D3%B0%C4%C4%BC%D2%BA%C3--%CE%AB%B7%BB%D0%C2%CE%C5%CD%F8
附图3:被劫持后主动跳转的假页面
然后,我们从头打开原页面,点击域名不是www.wfnews.com.cn或www.cnncw.cn的网站,发现原页面不会变成其他地址。
道理阐发
经由过程现象的阐发,我们猜测很有多是新打开的网站里面存在标题问题。所以遴选了一个网页对其源码进行阐发,首要阐发其内部引进的脚本文件内容,阐发的URL地址是http://www.wfnews.com.cn/health/h/2013-06/30/contentt_4038562.htm。
经由过程对引进的脚本文件的阐发,我们发现此中一些引进的文件中包含有颠末加密措置的脚本代码,这个很有可能就是引发跳转的启事。
附图4:加密脚本内容
下面我们来阐发引进的阿谁加密脚本http://www.13an.com/china/data/forum-20130604183433.js。下载并颠末解密阐发阐发一下,我们获得了核心代码以下附图5所示:
附图5:报复打击脚本的核心代码
下面我们本身写一个小代码进行本地测试,测试编制比较简单,成立两个文件index.html和new.html。
Index.html页面比较简单,就是引进一个a标签,然后点击在新窗口中打开new.Html,代码以下。
附图6:测试用Index.html的代码
New.Html里面就增加了一个script脚本,用来措置window.opener,代码以下。
红框中的就是核心代码,也就是导致原页面重置的启事。然后我们别离在Chrome、Firefox、IE8环境进行测试。
Chrome
附图8:Chrome浏览器下的测试成果
截图中便可以看到打开新页面时,前面的index.html已经是百度首页了。
Firefox
附图9:FireFox浏览器下的测试成果
火狐也是一样的。
IE8
附图10:IE8浏览器下的测试成果
IE8也跳转过往了。
至此我们就体味了页面是若何将百度的窗口跳转到另外一个页面的。