本文摘要:
跳转流程 代码执行流程 近期火绒接到用户反馈称在登录中国联通官网管理业务时被火绒报毒。火绒工程师检察后发现中国联通官网携带木破绽本(Trojan/JS.Redirector)。当用户会见其中某“业务管理记载”页面时即会激活木破绽本导致用户被强行跳转到其他推广页面上推广内容涉及色情、游戏等。 不仅如此该木破绽本还被设定为一天只跳转一次降低用户警惕性以便恒久存留于该页面。 经由我们进一步溯源上述木破绽本早在2016年10月份就已经在联通官网页面中泛起。
跳转流程
代码执行流程
近期��火绒接到用户反馈��称在登录中国联通官网管理业务时被火绒报毒。火绒工程师检察后��发现中国联通官网携带木破绽本(Trojan/JS.Redirector)。当用户会见其中某“业务管理记载”页面时��即会激活木破绽本��导致用户被强行跳转到其他推广页面上��推广内容涉及色情、游戏等。
不仅如此��该木破绽本还被设定为一天只跳转一次��降低用户警惕性��以便恒久存留于该页面。
经由我们进一步溯源��上述木破绽本早在2016年10月份就已经在联通官网页面中泛起。相关页面情况��如下图所示:
最后��为制止更多用户受该木破绽本影响��我们建议中国联通官方尽快排查上述问题。
通过此次事件反映出内容审查和宁静检测对官方平台的重要性��我们也希望能通过此次陈诉��引起相关平台开发人员、治理人员的重视��实时增强宁静审查力度��保障宽大用户宁静。
一、详细分析
联通官网“业务管理记载”页面代码��如下图所示:
![]()
有些用户可能会偶然遇到��在会见网页时突然被跳转到其他广告页面的情况。我们通偏激绒终端威胁情报系统发现��引用有相同木破绽本的站点并非只有联通官网��所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。
除前文中提到的色情广告外��现阶段监测到的部门其他被推广链接��如下图所示:
样本hash
![]()
最终跳转到色情APP广告页面
从联通官网页面跳转到的色情广告
![]()
转载自民众号:火绒宁静实验室
第一次跳转
![]()
联通官网“业务管理记载”页面代码
第四次跳转
![]()
跳转到的色情APP广告��如下图所示:
色情APP广告
![]()
近期凭据用户反馈��我们对联通官网中某页面代码举行分析��发现该页面中被植入了木破绽本 (Trojan/JS.Redirector)��该木破绽本逻辑执行后会控制用户当前页面跳转到色情、游戏等广告页面。剧本代码逻辑中控制了天天的会见次数��天天仅会会见一次。
我们开端推测其控制服务器在下放广告链接时�� 也会对用户天天的会见次数举行限制。现阶段我们发现��在被植入相同代码的情况下��只有手机端浏览器可以复现跳转历程(控制服务器 可能针对浏览器UA举行了判断)��可是不清除PC端浏览器也会泛起相同跳转行为的可能性。跳转流程��如下图所示:
作者:互联网宁静内参
![]()
游戏广告
![]()
链接存放页面返回效果��如下图所示:
![]()
第三次跳转
![]()
剧本内容��如下图所示:
![]()
第二次跳转
上图中的tj1.js木破绽本会先向控制服务器 地址请求跳转相关的网址链接内容��之后控制当前页面举行跳转。
tj1.js剧本内容��如下图所示:
![]()
木破绽本内容
请求tj1.js剧本内容
![]()
后续跳转流程��依次如下图所示:
![]()
历史页面内容
二、 附录
值得注意的是��联通官网的移动端和PC端都存在上述木破绽本��虽然强行跳转现象现在仅泛起在移动端��但不清除未来泛起在PC端的可能性。火绒用户无需担忧��火绒宁静软件可拦截该木破绽本和网页。
。
本文关键词:KOK,体育,KOK体育官方网站在线下载,官方网站,在线下载,中国,联通,官网
本文来源:KOK体育官方网站在线下载-www.bxllkj.com
