地址：http://www.baidu.com/s?wd=%D0%C2%B6%BC%C7%C5%BB%E9%C9%B4%C9%E3%D3%B0%C4%C4%BC%D2%BA%C3--%CE%AB%B7%BB%D0%C2%CE%C5%CD%F8

　　打開以后頁面為正常頁面。

附圖1：原頁面

　　在這個頁面中，點擊域名是www.或www.cnncw.cn的網(wǎng)站，會打開一個選項卡去訪問目標頁面。

附圖2：點擊的目標頁面

　　但是隨后能就發(fā)現(xiàn)之前的頁面已經(jīng)變成了一個其他網(wǎng)站的地址：

　　http://www.baidu.com.xnb391ax506c.com./s/?wd=%D0%C2%B6%BC%C7%C5%BB%E9%C9%B4%C9%E3%D3%B0%C4%C4%BC%D2%BA%C3--%CE%AB%B7%BB%D0%C2%CE%C5%CD%F8

附圖3：被劫持后自動跳轉(zhuǎn)的假頁面

　　然后，我們重新打開原頁面，點擊域名不是www.或www.cnncw.cn的網(wǎng)站，發(fā)現(xiàn)原頁面不會變成其他地址。

　　原理分析

　　通過現(xiàn)象的分析，我們推測很有可能是新打開的網(wǎng)站里面存在問題。所以挑選了一個網(wǎng)頁對其源碼進行分析，主要分析其內(nèi)部引入的腳本文件內(nèi)容，分析的URL地址是http://www./health/h/2013-06/30/contentt_4038562.htm。

　　通過對引入的腳本文件的分析，我們發(fā)現(xiàn)其中一些引入的文件中包含有經(jīng)過加密處理的腳本代碼，這個很有可能就是引起跳轉(zhuǎn)的原因。

附圖4：加密腳本內(nèi)容

　　下面我們來分析引入的那個加密腳本http://www./china/data/forum-20130604183433.js。下載并經(jīng)過解密分析分析一下，我們得到了核心代碼如下附圖5所示：

附圖5：攻擊腳本的核心代碼

　　下面我們自己寫一個小代碼進行本地測試，測試方法比較簡單，創(chuàng)建兩個文件index.html和new.html。

　　Index.html頁面比較簡單，就是引入一個a標簽，然后點擊在新窗口中打開new.Html，代碼如下。

附圖6：測試用Index.html的代碼

　　New.Html里面就增加了一個script腳本，用來處理window.opener，代碼如下。

附圖7：測試用New.html的代碼

　　紅框中的就是核心代碼，也就是導(dǎo)致原頁面重置的原因。然后我們分別在Chrome、Firefox、IE8環(huán)境進行測試。

　　Chrome

附圖8：Chrome瀏覽器下的測試結(jié)果

　　截圖中就可以看到打開新頁面時，前面的index.html已經(jīng)是百度首頁了。

　　Firefox

附圖9：FireFox瀏覽器下的測試結(jié)果

　　火狐也是一樣的。

　　IE8

附圖10：IE8瀏覽器下的測試結(jié)果

　　IE8也跳轉(zhuǎn)過去了。

　　至此我們就了解了頁面是如何將百度的窗口跳轉(zhuǎn)到另一個頁面的。