应该有很多人跟我一样，遇到过打开某个正常的网站，突然跳出满屏的刺激画面

遇到很多次后，我决定开始追踪此类弹窗，发现存在这个问题的网站并不是个别。在搜索引擎上搜索灰色网站比如电影网站、资源站等等就很容易遇到。
下面这个要拿来解析的，就是我随手从百度扒的。

这是一个电影网站，但是只要点到底部的首页/电影以及附近区域，就会跳到一个恶意网站

这是怎么做到的呢？其实就是网站被黑了，被人植入了恶意代码的

有同学会觉得这是网站自己投的广告，不是的，你往下看就知道了。

我是怎么发现的呢？如下图所示，这个页面底部有一个透明的区域，只要手指移动到此区域内就会触发恶意跳转

而且当你在电脑上访问这个网站，会提示“网页无法访问”，因为恶意代码的目标是安卓用户（恶意网站有提供安卓app），所以屏蔽了其他客户端的访问，同时这也使得在电脑上进行技术分析更加困难

通过手机连接电脑进行调试，对页面加载脚本进行逐个屏蔽，最终确认一个同名脚本是恶意脚本（黑客入侵网站后，在网站中植入了一个同名脚本）

当屏蔽此脚本后，整个网站都正常了，透明区域也消失了

同名的目的在于隐藏自身，网站所有者不注意看就会错过这个可疑点

下载这个恶意脚本，进行反混淆和分析

经过多层解密得到恶意脚本的运作流程

1、从远程服务器请求要跳转的恶意网站链接

2、判断是不是安卓、苹果，是的话就在底部插入一个透明区域，点击就跳转到恶意网站（1中获取到的网站）

这个恶意脚本还算耿直，在此前还遇到过更狡猾的，只要你打开过，他在一段时间不会再出现跳转，这就使得很多用户无法向安全软件举报该问题（因为无法复现）。

总结

此类恶意跳转具备以下特点的一个或多个：

1、只在安卓、苹果手机浏览器上出现。

恶意脚本甚至通过检测是否具有触摸功能来精准锁定手机用户（电脑浏览器模拟成手机都无法触发恶意脚本）

诱导下载app是因为可以读取通讯录等关键信息，从而实现果聊勒索等

2、页面有一个位置不固定（或固定）的透明地雷区，只要点了就跳转

3、它可能只会弹一次，让你无法复现问题