在一次对客户给的资产做渗透测试的时候发现了有外挂bc页面的链接，心血来潮想搞清楚其原理，顺便将研究的过程分享给大家。

　　首先，SEO分为黑帽SEO和白帽SEO：

　　黑帽SEO通常采用搜索引擎禁止的方式优化网站，影响搜索引擎对网站排名的合理和公正性。黑帽SEO包括很多很多手法，技术含量也要求很高。比如：流量劫持、快照劫持、泛域名、泛ip、变种ip、目录链轮、新闻源劫持、寄生虫程序、get程序、无限页面链轮等等，而且技术会层出不穷，捉摸不透。但随时会因为搜索引擎算法的改变而面临惩罚。

　　白帽SEO就是通过合理优化网站，从而提高用户的体验。通过合理与其他网站互联使站点在搜索引擎排名提升。可以理解为是正常渠道。

　　先普及一下知识点：快照劫持、搜索跳转其实是黑帽SEO利用站中站脚本自动繁殖文章“能熟练应用快照劫持(流量、爬虫、权重) 搜索跳转到自动繁殖文章（站中站脚本）做自己关键词获取定向流量的方法”搜索引擎快照劫持是通过代码来判断和识别蜘蛛访问的，若正常访问，则给出正常内容，若判断到是搜素引擎来访问，就给出另一个页面，使搜素引擎抓取快照进行改变，之后判断来路跳转。

　　后记，所有被挂了跳转链接的网页中绝大多数都是建立在网站被getshell的基础上的，所以当你在维护网站的时候不能仅仅只删除js代码，还要系统性的对网站内的文件进行对比找出后门，不然只是治标不治本。

　　下面给几条遇到该问题时的解决方法：

　　1.      看网站目录内有没有被上传的tools目录或tools类型文件。

　　2.      校验文件-修改替换原始文件-设定404-举报/更新快照。

　　3.      排查程序所有upload的功能，是否有漏洞，以及排查已经上传的文件是否有伪装为jpg之类的可执行文件。

　　4.      检查所有程序文件，删除非项目中的文件。

　　5.      排查进程是否有可疑的，找到进程文件，然后结束进程，想办法删除文件。

　　6.      使用安全狗或者防火墙，对外打开cdn加速。

　　到这里我们这次的js快照劫持代码分析以及针对如何跳转的溯源就到这里啦，希望这次写的文章能让大家系统性的了解到js的劫持方式以及跳转原理。当各位管理员或者运维人员遇到此情况时能迅速排查问题，找出原因，并对网站进行加固。接下来我还会根据项目中遇到的这类事件进行真实案例针对性分析，希望能够让不了解的同学们对这个了解，了解一点的人懂得该如何去防范。这几天最流行这句话：BUG是代码产生的，代码是人写的，所以人才是最大的漏洞。所以看完这个文章如果有什么建议和疑问都可以留言，有建议我会采纳并改进，有疑问我也会在我能力范围内给你合理的解释。End。