黑帽SEO研究之js快照劫持代码分析

黑帽SEO研究之js快照劫持代码分析

作者：疯狂棒棒糖

一．前言

在一次对客户给的资产做渗透测试的时候发现了有外挂bc页面的链接，心血来潮想搞清楚其原理，顺便将研究的过程分享给大家。

首先，SEO分为黑帽SEO和白帽SEO：

黑帽SEO通常采用搜索引擎禁止的方式优化网站，影响搜索引擎对网站排名的合理和公正性。黑帽SEO包括很多很多手法，技术含量也要求很高。比如：流量劫持、快照劫持、泛域名、泛ip、变种ip、目录链轮、新闻源劫持、寄生虫程序、get程序、无限页面链轮等等，而且技术会层出不穷，捉摸不透。但随时会因为搜索引擎算法的改变而面临惩罚。

白帽SEO就是通过合理优化网站，从而提高用户的体验。通过合理与其他网站互联使站点在搜索引擎排名提升。可以理解为是正常渠道。

二．正文

（1）发现问题

这次研究的是快照劫持之一的js快照劫持。

先普及一下知识点：快照劫持、搜索跳转其实是黑帽SEO利用站中站脚本自动繁殖文章“能熟练应用快照劫持(流量、爬虫、权重) 搜索跳转到自动繁殖文章（站中站脚本）做自己关键词获取定向流量的方法”搜索引擎快照劫持是通过代码来判断和识别蜘蛛访问的，若正常访问，则给出正常内容，若判断到是搜素引擎来访问，就给出另一个页面，使搜素引擎抓取快照进行改变，之后判断来路跳转。

以下是本次案例记录：

首先当我们在百度中搜索ip的时候发现了这样一幕：(客户资产打码见谅)

从这个页面中可以看出来此处就是属于百度快照劫持，点击后便跳转到了bc网站:https://www.wtwns860.com/cn/

这时候可以重新在百度里搜索这个网站，能够发现还有其余受害者TNT。

    通过点击他们的链接均可以跳转到bc网站。

（2）初步分析

首先想到的是在首页可能被植入了恶意代码，那我们在首页用ctrl+u来看一下页面源代码：

经过分析，发现图中TDK的信息存在篡改且被加密了，加密的是中文标题、关键、描述，加密的格式经过判断为Unicode编码加密，将这三个依次解密后如下图所示发现被篡改信息。

我一般用站长在线解密工具地址如下：http://tool.chinaz.com/tools/unicode.aspx