V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
keylab
V2EX  ›  分享发现

这又是什么黑科技?谷歌、百度不能幸免

  •  1
     
  •   keylab · 2015-10-04 23:04:37 +08:00 · 4689 次点击
    这是一个创建于 3362 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在谷歌 /百度搜索「 site:www.gooogge.cn 」,随便点开一个搜索结果,「原搜索结果页」自动跳转至 xx 网站。

    所以,这是什么黑科技?
    第 1 条附言  ·  2015-10-05 00:45:33 +08:00
    @abelyao 给出正解:

    这个 gooogge 网站的有一段 JavaScript 代码,是对创建该窗口的窗口进行跳转操作,见: http://www.gooogge.cn/static/common.js 这个文件。
    可参考: http://www.w3school.com.cn/jsref/prop_win_opener.asp

    gooogge 执行了下面两句 JavaScript 代码:
    window.opener.navigate('xxxxxxxx');
    if(parent.window.opener) parent.window.opener.location='xxxxxxxx';
    24 条回复    2015-10-09 10:54:15 +08:00
    Nyanpasi
        1
    Nyanpasi  
       2015-10-04 23:09:10 +08:00
    打開了一個 1024
    jkjoke
        2
    jkjoke  
       2015-10-04 23:13:47 +08:00
    @Nyanpasi 还是个假的
    Xs0ul
        3
    Xs0ul  
       2015-10-04 23:41:51 +08:00
    1 、试了下必应也中枪了
    2 、开的两个 google 搜索页全变了,还不只是原搜索页

    有点意思,看菊苣们解答
    alect
        4
    alect  
       2015-10-04 23:45:08 +08:00
    -.-,这是网站被挂马了
    Heracles
        5
    Heracles  
       2015-10-04 23:45:50 +08:00
    @jkjoke 还可以注册,用来收集大量真实密码。
    Vernsu
        6
    Vernsu  
       2015-10-04 23:48:47 +08:00
    直接跳到 1024 了……
    jkjoke
        7
    jkjoke  
       2015-10-05 00:17:15 +08:00
    @Xs0ul 应该是利用了某个浏览器的漏洞,例如我的浏览器是 chrome ,然后就会出错,然后再跳转如下链接

    chrome://errorpage/?lasturl=http%3A%2F%2Fwww.jxuan.org%2Fgo1.php&errorcode=118
    jkjoke
        8
    jkjoke  
       2015-10-05 00:18:03 +08:00
    @jkjoke 额,请无视,貌似只是网络问题
    wjfz
        9
    wjfz  
       2015-10-05 00:21:59 +08:00 via Android
    我是用移动端访问的,跳到了色情结果。

    猜测:以虚假关键词欺骗搜索引擎,普通用户访问则跳到坑爹页面。

    搜索引擎有特有的 UA 。
    killerv
        10
    killerv  
       2015-10-05 00:27:52 +08:00
    百度确实是这个样子,但是谷歌貌似没问题。
    lhx2008
        11
    lhx2008  
       2015-10-05 00:28:03 +08:00 via Android
    并不是什么黑科技,实现方法有两种
    一个是用 dnspod 给搜索引擎和用户解析两个 ip
    另一个是后端判断 ua ,智能返回页面
    短时间没什么后果,不过百度谷歌还是技高一筹的,它早就知道,只是先观察一会
    abelyao
        12
    abelyao  
       2015-10-05 00:32:41 +08:00
    @lhx2008
    @killerv
    @wjfz
    @jkjoke
    @alect

    貌似你们都没弄清楚楼主说的… 比如像百度搜索,点开任意一个结果,是在 “新窗口” 打开的,但是刚刚那个搜索结果的 “原窗口” (也就是百度域名下的结果页面)会跳转到另一个网址去。
    huangtao728
        13
    huangtao728  
       2015-10-05 00:36:45 +08:00 via iPad
    重点应该放在观察 www.gooogge.cn 这个域名下的网页有什么异样上面。

    刚才做了个实验,把 V2EX 个人资料中的网站一项换成了从百度上搜到的 www.gooogge.cn 的一个链接。
    然后在资料页一点开 V2EX 就变成小黄网了...
    abelyao
        14
    abelyao  
       2015-10-05 00:38:44 +08:00   ❤️ 3
    回答楼主:
    这个 gooogge 网站的有一段 JavaScript 代码,是对创建该窗口的窗口进行跳转操作,见: http://www.gooogge.cn/static/common.js 这个文件。
    可参考: http://www.w3school.com.cn/jsref/prop_win_opener.asp
    abelyao
        15
    abelyao  
       2015-10-05 00:41:36 +08:00   ❤️ 2
    gooogge 执行了下面两句 JavaScript 代码:
    window.opener.navigate('xxxxxxxx');
    if(parent.window.opener) parent.window.opener.location='xxxxxxxx';
    keylab
        16
    keylab  
    OP
       2015-10-05 00:42:51 +08:00
    @abelyao 正解!

    竟然还有这样的「权限」,有点小危险啊
    abelyao
        17
    abelyao  
       2015-10-05 00:45:49 +08:00
    @keylab 有点意思,到处去做外链,甚至微博什么的,然后访问者回头发现,刚刚打开的也没不见了,目瞪口呆…
    qgy18
        18
    qgy18  
       2015-10-05 00:55:49 +08:00 via iPhone
    一直都是这样的,之前给 chrome 提过 bug ,被告知这是功能,不是漏洞。

    目前在 webkit 下,要想解决这个问题,只能通过
    Referrer Policy 干掉跳转时的 referrer ;或者用 js 的 window.open 实现跳转,并把 opener 设为 null 。

    CSP3 ( Content Security Policy Level 3 )中可能会增加一个新的指令,用于彻底解决这个问题。这里是讨论地址:

    https://github.com/w3c/webappsec/issues/139
    qgy18
        19
    qgy18  
       2015-10-05 01:00:53 +08:00 via iPhone
    lhx2008
        20
    lhx2008  
       2015-10-05 08:58:54 +08:00 via Android
    @abelyao 手机开的,效果不明显,现在知道了
    hienchu
        21
    hienchu  
       2015-10-05 09:11:54 +08:00 via iPhone
    貌似这网站是随机扒内容,骗取搜索点击,果然黑科技
    makry
        22
    makry  
       2015-10-05 11:29:42 +08:00
    就这一段代码。闷声赚大钱的人多了去了
    想当年双 11 淘宝客还有跨站结算权限,一天这么跳转几十万流量。。。。自己脑补一下佣金吧
    Cu635
        23
    Cu635  
       2015-10-05 16:15:30 +08:00
    和浏览器也有关系。

    IE 下面是没有原网页的跳转的,但是新打开的网页不断弹窗(弹新标签页),而 firefox 下面是原网页跳转到钓鱼 1024 网站上面,新打开的网页没有弹窗( firefox 连阻止了弹窗的提示都没有)。
    lycos
        24
    lycos  
       2015-10-09 10:54:15 +08:00
    奇怪楼主是如何发现这个的呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1119 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 18:50 · PVG 02:50 · LAX 10:50 · JFK 13:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.