这又是什么黑科技?谷歌、百度不能幸免

2015-10-04 23:04:37 +08:00
 keylab
在谷歌 /百度搜索「 site:www.gooogge.cn 」,随便点开一个搜索结果,「原搜索结果页」自动跳转至 xx 网站。

所以,这是什么黑科技?
4674 次点击
所在节点    分享发现
24 条回复
Nyanpasi
2015-10-04 23:09:10 +08:00
打開了一個 1024
jkjoke
2015-10-04 23:13:47 +08:00
@Nyanpasi 还是个假的
Xs0ul
2015-10-04 23:41:51 +08:00
1 、试了下必应也中枪了
2 、开的两个 google 搜索页全变了,还不只是原搜索页

有点意思,看菊苣们解答
alect
2015-10-04 23:45:08 +08:00
-.-,这是网站被挂马了
Heracles
2015-10-04 23:45:50 +08:00
@jkjoke 还可以注册,用来收集大量真实密码。
Vernsu
2015-10-04 23:48:47 +08:00
直接跳到 1024 了……
jkjoke
2015-10-05 00:17:15 +08:00
@Xs0ul 应该是利用了某个浏览器的漏洞,例如我的浏览器是 chrome ,然后就会出错,然后再跳转如下链接

chrome://errorpage/?lasturl=http%3A%2F%2Fwww.jxuan.org%2Fgo1.php&errorcode=118
jkjoke
2015-10-05 00:18:03 +08:00
@jkjoke 额,请无视,貌似只是网络问题
wjfz
2015-10-05 00:21:59 +08:00
我是用移动端访问的,跳到了色情结果。

猜测:以虚假关键词欺骗搜索引擎,普通用户访问则跳到坑爹页面。

搜索引擎有特有的 UA 。
killerv
2015-10-05 00:27:52 +08:00
百度确实是这个样子,但是谷歌貌似没问题。
lhx2008
2015-10-05 00:28:03 +08:00
并不是什么黑科技,实现方法有两种
一个是用 dnspod 给搜索引擎和用户解析两个 ip
另一个是后端判断 ua ,智能返回页面
短时间没什么后果,不过百度谷歌还是技高一筹的,它早就知道,只是先观察一会
abelyao
2015-10-05 00:32:41 +08:00
@lhx2008
@killerv
@wjfz
@jkjoke
@alect

貌似你们都没弄清楚楼主说的… 比如像百度搜索,点开任意一个结果,是在 “新窗口” 打开的,但是刚刚那个搜索结果的 “原窗口” (也就是百度域名下的结果页面)会跳转到另一个网址去。
huangtao728
2015-10-05 00:36:45 +08:00
重点应该放在观察 www.gooogge.cn 这个域名下的网页有什么异样上面。

刚才做了个实验,把 V2EX 个人资料中的网站一项换成了从百度上搜到的 www.gooogge.cn 的一个链接。
然后在资料页一点开 V2EX 就变成小黄网了...
abelyao
2015-10-05 00:38:44 +08:00
回答楼主:
这个 gooogge 网站的有一段 JavaScript 代码,是对创建该窗口的窗口进行跳转操作,见: http://www.gooogge.cn/static/common.js 这个文件。
可参考: http://www.w3school.com.cn/jsref/prop_win_opener.asp
abelyao
2015-10-05 00:41:36 +08:00
gooogge 执行了下面两句 JavaScript 代码:
window.opener.navigate('xxxxxxxx');
if(parent.window.opener) parent.window.opener.location='xxxxxxxx';
keylab
2015-10-05 00:42:51 +08:00
@abelyao 正解!

竟然还有这样的「权限」,有点小危险啊
abelyao
2015-10-05 00:45:49 +08:00
@keylab 有点意思,到处去做外链,甚至微博什么的,然后访问者回头发现,刚刚打开的也没不见了,目瞪口呆…
qgy18
2015-10-05 00:55:49 +08:00
一直都是这样的,之前给 chrome 提过 bug ,被告知这是功能,不是漏洞。

目前在 webkit 下,要想解决这个问题,只能通过
Referrer Policy 干掉跳转时的 referrer ;或者用 js 的 window.open 实现跳转,并把 opener 设为 null 。

CSP3 ( Content Security Policy Level 3 )中可能会增加一个新的指令,用于彻底解决这个问题。这里是讨论地址:

https://github.com/w3c/webappsec/issues/139
qgy18
2015-10-05 01:00:53 +08:00
lhx2008
2015-10-05 08:58:54 +08:00
@abelyao 手机开的,效果不明显,现在知道了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/225634

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX