论假百度钓鱼网站的实现过程

近日在UC头条上看到一则新闻【 网友反映可能上了“假百度” 官方通报: 百度搜索移动端被劫持 】

今天来讨论一些假百度的实现过程，防止大家以后上当受骗。未看新闻的童鞋先去补补课。下面是概览图。

仿制百度移动版网站

会Web开发的童鞋都知道，仿制网站的第一步就是将站点的资源都抠下来。如下

不需要的JS可以删除掉，页面上的链接可以任意发挥。

修改DNS解析，让假百度更真

给域名添加一个baidu.com的前缀，以假乱真。

购买免费子域名证书，疏而不漏

在手机上访问时会有个安全的小钥匙，这个必不可少

买了免费证书配置到Nginx代理中就可使用了。

重点，劫持用户

只需要简单的JS就可以劫持用户的真实地址了，当用户通过百度搜索进入的你的网站时，你就可以劫持用户到假百度去了。至于怎么让百度能搜索到你的网站，这就可以问问百度了，百度有竞价排名。

window.onload=function(){
    //用于捕获浏览器回退事件，或手机回退的物理按键
    history.pushState(null,null,null);
    window.onpopstate=function(){
      //当用户点击后退时，进入假百度
      location.replace("https://baidu.com-search.xxx.com");
    }
};

结语

本文旨在防止大家上当受骗，解析钓鱼网站是如何使用的，切勿非法使用！！！