CNZZ统计劫持用户剪切板放支付宝广告分析

applek

CNZZ是一家大的网站流量统计公司，没想到居然会做出这样的无良举动！
事情起因是这样的，我网站放了CNZZ官方的统计代码，今天我使用QQ点击我的网站进入，没想到莫名的就打开支付宝并且打开了支付宝口令
很奇怪，于是我就分析了一下我网站数据加载，这不看不知道，一看吓一跳！
抓包的时候，请选择使用手机模拟，PC端页面是不会加载数据的。本人测试了两个网站，都是如此！

首先可以看到第一个页面地址是本人CNZZ的统计代码地址，然后，后面加载了一堆名为cnzz域名的地址
跟进这个js文件，我们可以看到会加载一个http://w.c-cnzz.com/cl.php文件


继续寻找，可以看到这个文件会把网页的信息发布出去，这是一个统计的功能


接着把这个返回的js代码拿来查看一下
如下图格式化后的数据

可以看到里面有一长段的URL编码的数据
我们使用编码工具进行解码，可以惊人的发现了我们熟悉的支付宝口令！！

继续查看代码，可以看到他会向手机剪切板发送数据，并且判断是否是QQ打卡

当然了，里面还有微信的打开连接！！
没想到，这么大的一个公司居然会劫持用户剪切板跳转支付宝领红包！！！早些时候听过cnzz劫持用户，没想到还是死性不改，又搞这一出
附上js代码供大家分析。希望CNZZ公司有一个解释！
cnzzjs代码.zip (3.84 KB, 下载次数: 59)

2018-1-20 11:14 上传

点击文件名下载附件

Hmily

cnzz是不是被阿里收购了？也算大公司了，从你这个内容看，更像是运营商劫持，不太像cnzz劫持，首先c-cnzz.com这个域名不是cnzz的，你可以从whois里看到：

域名
c-cnzz.com[whois 反查]

其他常用域名后缀查询： cn com cc net org

注册商
eName Technology Co.,Ltd
联系人laiyu wang[whois反查]
联系邮箱lidatianwang@163.com[whois反查]
联系电话18328666221[whois反查]
创建时间2016年07月01日

其次你用http看到的那个链接劫持非常简单，你可以试试换个地区或者运营商的，看看是否劫持？或者看看他是否支持https，试试https的链接内容是否正常。

吾爱在没启用ssl之前，经常被运营商劫持，还有路由器厂商劫持，弹广告是屡见不鲜，并且因为弹广告还导致网站功能异常，所以这种问题不太可能大厂商自己干的，还是优先怀疑电信运营商。

applek

Hmily 发表于 2018-1-20 13:44
cnzz是不是被阿里收购了？也算大公司了，从你这个内容看，更像是运营商劫持，不太像cnzz劫持，首先c-cnzz.c ...

原来是这样，挂HTTPS就正常了，感谢

610100

手机上打开某些网站，吱口令自动复制到剪切板。不过不会自动打开支付宝

用的fv浮动阅读器，剪切板变化就有提示

qqli

早年不运营劫持，打开网站就跳转。
后来投诉了几次才解决

langyeie

CNZZ看了想打人

芥末芥末

610100 发表于 2018-1-20 14:16
手机上打开某些网站，吱口令自动复制到剪切板。不过不会自动打开支付宝

用的fv浮动阅读器，剪切板变化就 ...

微软桌面，最近板块也会显示

rxxcy

习惯就好了-.-

vipwp

我这边的长城宽带也是这样, 也没个地方管管

夏雨微凉

这几天被类似的东西弄得老上火了，移动端打开哪个网页基本都有广告。恶心