前几天遇到一个http-Inject的实例:在Google搜索一个朋友的网站,从Google上链接到这个网站会自动跳转到一个垃圾页面,并下载木马。我想一定是服务器有问题,因为我的浏览器是Linux下的Firefox,没有理由随便被插啊。随即向朋友询问,初步确定是服务器出了问题。但是是哪儿出了问题呢。 造成页面自动转到其他URL,无非是HTTP 302响应、HTML自动刷新和Javascript。当时的情况是首页才出来个Banner就立即跳转到垃圾页面了。于是排除了HTTP 302响应,302响应是不会有Banner出现的,因为302响应只有HEAD,没有BODY(具体可以看一下HTTP协议规范)。于是在Banner 显示出来但还没跳转到垃圾页面的时候点浏览器的停止按钮,查看HTML源,也没发现HTML的自动刷新,那么就剩下Javscript了。遂查看页面上的所有Javascript,发现check.js很是可疑,正是它引起的跳转,并且它的内容很诡异,开头一大段空白,这个内容大部分都是URL编码的内容。问过朋友后感觉到一定就是它了,因为朋友说以前删除过这个js。原来在阅读全文>
发表于 @ 2008年04月27日 01:49:00|评论(loading...)|编辑