早上使用手机的微软浏览器点开了自己的博客,弹出了一个广告的窗口,很是郁闷,因为这个广告他只弹出一次,在手机上也无法查询这个弹窗的出现,刷新又不会再次出现。 不知网友们打开碎言是否有弹出广告页面?无论弹出与否请在页面下边留言告知与我,谢谢了!!
排查
因为全站都是静态页面,所以植入广告的方法的最大可能就是在打包编译的时候加进去,仔细排查了那些模块,就这几个:
"dependencies": {
"@giscus/react": "^3.0.0",
"@nextui-org/react": "^2.6.10",
"framer-motion": "^11.15.0",
"gray-matter": "^4.0.3",
"next": "15.1.2",
"next-themes": "^0.4.4",
"react": "^18.3.1",
"react-dom": "^18.3.1",
"react-markdown": "^9.0.1"
},
"devDependencies": {
"postcss": "^8",
"tailwindcss": "^3.4.1",
"tailwindcss-motion": "^1.0.1"
}
都是比较知名的模块,被植入AD的可能性极低了。
搜索并排查前端加载的代码,没有任何收获。除了以上方式,还有一些比较高级的广告植入方法,例如DNS污染,浏览器插件。
但是家里的路由器我手动设置了DNS为:8.8.8.8 和 114.114.114.114.这个被污染的可能性极低了。那么唯一的一个还不能排除的就手机里的浏览器了,但是这个,我一天只能测试一次,排查起来很麻烦?各位大佬可有其他方法?
还有两个额外的代码引入,一个Github的评论插件,一个是51la的页面统计,感觉都不太可能是这二处。
网站安全在线检测
顺手搜了一些网站安全在线检测的网址,测试了一下,都很安全。
-
https://zh.gridinsoft.com/website-reputation-checker 输入链接或域名,我们将检查该网站是否存在已知的钓鱼、诈骗、黑名单状态和恶意代码。
-
https://www.virustotal.com/ 分析可疑文件、域、IP 和 URL 以检测恶意软件和其他违规行为,并自动与安全社区共享。
-
https://metadefender.com/ 分析和共享恶意软件样本和威胁情报,以加入对抗网络威胁的战斗。
-
https://www.ssltrust.com.au/ssl-tools/website-security-check 一个免费的网站安全检查工具,用于扫描和检查面向公众的网站的安全性。检查来自 Google、Comodo、Opera、Securi 等公司的 80 多个数据库。此工具可以帮助确定访问网站和共享信息是否安全。它还可以进行快速的 SSL 证书检查以确保其有效且安全。没有网站是 100% 安全的,因此我们建议您在分享敏感信息时始终小心。
如果你对自己的网站安全有疑问,可以使用上边的四个安全网站扫描,看看扫描结果报告,分析一下原因。看来我还得慢慢排查啊,