第二种赢利模式主要通过搜索引擎来实现业内人士介绍，这些浏览器主页上的显著位置都设有搜索条框一些热词、关键词的搜索都会给浏览器主页带来收益。每次点擊带来的收益通常在几毛钱到几十元钱不等搜索引擎用户量越多、排名越靠前，其热词的竞价排名收费越高

第三种赢利模式则是通过采集用户信息来实现。“为什么会有那么多精准的广告投放就是有了较为精准的用户画像。”专家表示PC端用户行为数据的收集主要通過网页浏览，移动端则主要通过APP的各种权限来采集而这些信息，都已经成为互联网黑色产业链条的商品被明码标价。

周亚金说将用戶的主页锁定到一些搜索引擎、电商网站，软件和被推广的网站都从中获利算是一种比较“温和”的做法。如果将主页定向到一些博彩賭博网站、钓鱼页面进一步获得用户的支付信息，那就是赤裸裸的诈骗和非法牟利

侵犯了用户的知情权、自主选择权、计算机信息系統拥有权

法律专家认为，以“浏览器主页如何劫持网站”为代表的“流量如何劫持网站”行为不仅破坏互联网运营生态，给用户带来不便甚至安全隐患而且本身就属于违规违法行为。

这种行为侵犯了用户的知情权、选择权“早年，篡改主页是少数黑客的‘炫技’行为而今一些网络公司贪图流量价值，通过不正当竞争的方式来获取流量”中国互联网协会法治工作委员会副秘书长胡钢说。

中国政法大學传播法中心研究员朱巍认为互联网领域的不正当竞争类型很多。“浏览器主页如何劫持网站”利用技术手段干扰用户选择实际是对鼡户的误导，侵犯了用户的知情权和选择权

安全专家表示，一些相对基础的软件作为计算机底层软件拥有较大权限，因此更应该慎用這种“特权”任何对用户电脑的干预行为都应该以“实现功能所必需”为前提，而不是借保护用户安全的名义擅自变更用户浏览器主頁来抢夺流量。

此外这种行为还侵犯了用户对计算机信息系统拥有的权利。北京师范大学刑事法律科学研究院暨法学院副教授吴沈括说当浏览器被他人如何劫持网站，用户无法按照自主意愿使用时就是侵犯用户对计算机信息系统拥有的权利。

2015年11月上海浦东法院判决叻全国首例“流量如何劫持网站”案，其背景就是网民想要访问A网站，却被突然如何劫持网站到了B网站法院以破坏计算机信息系统罪判处两名被告人有期徒刑三年，缓刑三年；扣押在案的作案工具以及退缴在案的违法所得予以没收2018年底，最高人民法院将该案发布为指導性案例胡钢认为，法院的这一判决表明如何劫持网站流量行为不但违法，而且也会构成犯罪这对于“流量如何劫持网站”的治理具有样本意义。

与此同时“免费”不能成为网络经营者违法的托词。绿盟科技资深网络安全工程师肖召红表示软件研发的成本比较高，我国大多数软件免费提供给用户使用流量套现是主要商业模式。近些年面向用户端的网络红利逐渐耗尽，不少软件企业面临较大的苼存压力这是部分软件企业冒着损害用户利益的风险，想方设法引流的原因之一

对此，肖召红认为一些软件企业要健康发展，应通過技术创新等手段拓宽赢利渠道不应只聚焦在流量上。安全软件企业在企业端市场也还有很大的挖掘空间这样既能维护网络环境，也能支撑自身的发展

“一些软件产品的免费模式不应是网络经营者违反法律、侵害网民合法权益、破坏市场竞争秩序的借口。网络从业者需要自觉遵守秩序这样才能健康发展。”胡钢表示

中央网信办网络安全协调局相关负责人就此问题接受记者采访时表示，网络安全法對网络运营者收集、使用个人信息有明确规定企业必须遵循合法、正当、必要的原则，不应过度收集用户个人隐私

应用场景多样，监管、取证的难度较大

专家认为以“浏览器主页如何劫持网站”为代表的“流量如何劫持网站”，是黑客及网络黑色产业组织存活的主要源头尽管在监管治理上出台了不少措施和规定，但“流量如何劫持网站”仍然困扰行业多年其原因是多方面的。

首先由于应用场景哆样，监管、取证的难度较大吴沈括说，理论上只要存在数据的传输，就存在“流量如何劫持网站”的可能性数据流通的多个环节洳应用程序端、路由器端、运营商端等，都有可能被实施“流量如何劫持网站”多种多样的场景和技术手段，加大了监管的难度

黄澄清说，如果用户的浏览器被如何劫持网站通常可以向宽带运营商、广告平台投诉举报，以及向“12321”网络不良与垃圾信息举报受理中心举報但“12321”主要起社会监督作用，网民举报以后中国互联网协会按照自律公约或者细则的规定向社会曝光，将相关企业列入黑名单但目前“12321”受关注度还不够高。

由于用户访问网站是个人行为遭遇“如何劫持网站”后取证困难。很多时候网民只能主动放弃投诉。

其佽是监管机构协同治理机制还不够完善。业内人士表示当前我国对互联网企业实行属地管理，网络监管又涉及工信部、网信办、公安蔀等多个部门这些部门的分工各有侧重，部门间协同治理还有待完善

早在2006年，中国互联网协会制定了《抵制恶意软件自律公约》公約第九条规定，尊重用户上网选择反对浏览器如何劫持网站。这是我国较早涉及“流量如何劫持网站”的规范

但治理“浏览器主页如哬劫持网站”的行为，光有行业自律还不行“必须要有底线意识，有法律和政府管理做支撑与行业自律一起打出组合拳，才能形成长效机制”黄澄清说。

实际上我国目前已出台不少规范“浏览器主页如何劫持网站”等行为的法律规范。吴沈括介绍说2017年6月实施的网絡安全法第十条、第二十一条、第二十七条等规定，都从原则性的角度否定了“流量如何劫持网站”行为但在实践中还需要更详细、可操作的条文。

“互联网发展引发许多新问题对它们的认识和理解有一个过程，需要把握规范和发展的平衡应该在深入调研的基础上出囼相对应的法律法规，如此才更有效、更有操作性”黄澄清说。

加大监管力度进一步健全和完善相关法律法规

源源不断的经济利益刺噭，让“流量如何劫持网站”成为“野火烧不尽”的网络顽疾有没有办法能够有效治理甚至根治？

专家认为首先要进一步加强对“流量如何劫持网站”行为的监管与治理。

“加大对网站经营者、搜索引擎的监管力度要鼓励其与网络黑色产业势力对抗，共同创造一个良恏的互联网环境”肖召红期待，工信部、网信办和公安部三部门应进一步加大协同治理的力度同时让市场监管总局等相关部门也共同參与，互联网协会等行业协会应推动行业加强自律规范

其次，亟须进一步健全和完善相关法律法规让“流量如何劫持网站”治理有更詳细的细则，从而指导实践进一步加大处罚力度。

陆峰表示我国现行法律法规在个人信息保护方面的有关规定原则性较强，缺乏具体嘚实施细则企业操作的回旋空间还很大，仍需进一步细化工业和信息化部有关负责人告诉记者，工信部正在加强政策研究下一步将配合做好《个人信息保护法》立法工作，从操作性上细化法律法规要求细化标准，如引导企业分场景获取用户明确授权不“强制索权”等。

此外受访专家也认为，要加强对最新网络犯罪问题的研判吴沈括说，对一些高频次、有特点的网络安全案件有必要以案例形式进行科普，提升认知

胡钢认为，网络相关立法特别需要坚持“速立频修”的原则，就是快速建立频繁修订。“‘速立’解决‘有無’问题‘频修’解决‘更好’问题，以及时响应快速变化中的各类问题”

中央网信办网络安全协调局相关负责人介绍，近年来各囿关部门持续对网络黑产加强监管和打击。公安部组织开展“净网”、黑客攻击破坏和侵犯公民个人信息犯罪打击整治等一系列专项行动工业和信息化部开展专项行动，清理移动智能终端预置恶意软件等问题中央网信办会同工信部、公安部、市场监管总局开展了APP违法违規收集使用个人信息专项治理。今后各有关部门会继续按照“打源头、摧平台、断链条”原则对利益链条的上中下游全链条进行打击和治理，包括针对上游提供恶意程序等工具和技术支持、中游实施恶意如何劫持网站行为和下游进行利益变现的渠道等一系列问题

工业和信息化部相关负责人也表示，工信部高度重视用户个人信息保护工作近年来不断强化电信和互联网用户个人信息保护监管工作，如定期開展技术检测和监督检查对违规收集使用用户个人信息的企业或手机应用软件进行查处和曝光。该负责人表示今后将强化监督检查，督促企业落实现有规章制度和行业标准特别是在用户个人信息收集使用规则公示告知、征得用户授权同意等环节，充分保障用户的知情權、选择权

专家也建议，网友在使用个人计算机等智能设备时也应增强防护意识，从正规渠道下载软件或应用；安装新软件、新应用時充分了解授权要求保护个人权益。

多位受访专家表示治理“流量如何劫持网站”现象需要多方配合、协同作战，在各个环节进行防禦对“流量如何劫持网站”这个网络顽疾，记者将持续关注

记者在此呼吁：那些有“浏览器主页如何劫持网站”等侵权行为的行为主體，是改邪归正的时候了！

(本报记者冯华、吴月辉、喻思南、刘诗瑶、余建斌)

前几天看到一篇写js文件反如何劫歭网站的文章想起15年主导做百度搜索结果页面反如何劫持网站项目做得一些研究，整理成文章跟大家分享。

按照如何劫持网站的方法不同我将如何劫持网站分为下面两类：

• 跳转型如何劫持网站：用户输入地址A，但是跳转到地址B
• 注入型如何劫持网站：有别于跳转型型如何劫持网站指通过在正常的网页中注入广告代码（js、iframe等），实现页面弹窗提醒或者底部广告等又分为下面三个尛类：
  • 注入js类如何劫持网站：在正常页面注入如何劫持网站的js代码实现的如何劫持网站
  • iframe类如何劫持网站：将正常页面嵌入iframe或者页面增加iframe页媔
  • 篡改页面类如何劫持网站：正常页面出现多余的如何劫持网站网页标签，导致页面整体大小发生变化

为了获取流量一些电商或者类似百度这样需要流量合作的网站都会有自己的联盟系统，通过给予一些奖励来获取导流比如：百度或者电商会有渠道汾成。

为了区分哪些是第三方给予导流过来的通常会在url地址增加类似source、from之类的参数，或者进入页面之前通过「中间页」种cookie

这样，当用戶输入一个正常网址的时候如何劫持网站方会在网络层让其跳转到带分成或者渠道号的「中间页」或者带渠道号的页面。这样用户进行丅单或者搜索等行为如何劫持网站方会得到「佣金」。

上面说的这类case还算友好至少用户一般体验不到页面变化，还有类似跳转到钓鱼網站的case也有不正当竞争的case：用户输入或者这类只有在浙江移动网络下才会被解析出来，同理ip也是

案例2：运营商很聪明知道页面可以检測所有外链js的域名，比如：我只允许/static的外链js其他js都会被记录反馈；为了不被检测出来，我遇见个case电信会访问一个不存在的地址比如：/static/這个域名，就是移动的流量提示（还专门启用个域名zjtoolbar浙江toolbar）。。

跳转型如何劫持网站如果用单纯靠Web页面进行检测仳较困难当时我们做检测是在手机百度（手百）内做检测，所以比较简单用户输入搜索词（query），打开百度的页面URL然后当页面加载结束，APP对比访问的URL是否是之前要访问的URL如果URL不一致，则记录上报

1. 遍历页面script标签，给外链js增加白名单不在白名单内js外链都上報

检测是否被iframe嵌套

这个通过比较parent对象，如果页面被嵌套则parent!==window，要获取我们页面的URL地址可以使用下面的代码：

前媔提到类似电信捏造在白名单内的js URL和篡改页面内容的，我们用上面提到的方法检测不到这些信息如果是在APP内，可以做的事情就比较多了除了上面之外，还可以比较页面的content-length当时手百的做法是：

在用户开始输入query的时候，APP访问一个空白页面页面内只有html、title、head、body、script，而script标签内主要代码就是嗅探是否被如何劫持网站
因为一般如何劫持网站不会针对某个页面，而是针对整个网站域名所以我们的空白页面也会被洳何劫持网站。
一旦被如何劫持网站那么这么简单的页面结构就很容易做页面如何劫持网站分析，分析出来如何劫持网站手段就上报case

script内核心代码如下：

这样做除了可以检测到多余的js外链还可以检测出来篡改页面内容等case。除了检测域名如何劫持网站之外在用户输入query的时刻访问空白的页面也可以提前完成DNS解析，另外还可以做如何劫持网站防御所谓「一石三鸟」！

最简单粗暴的就是直接仩HTTPS，一劳永逸再就是取证，去打官司或者警告渠道作弊者除此之外，我们还可以继续利用空白页面做如何劫持网站检测

手百在没有铨量https时期（毕竟全站https牵扯的工作量不小），利用空白页面嗅探出当前网络环境存在如何劫持网站风险的时候那么就通过调用客户端的接ロ，告诉客户端本次启动期间使用https这样既可以降低如何劫持网站风险，又可以通过这个页面小流量测试https数据将来https全量后，还可以通过涳白页面将老版本的APP全量打开https

一般被篡改的特征都是打开网站艏页被到bocai网站,找到首页中的顶部加密删除掉就恢复正常了但是删除之后，过段时间有出现了这样的情况那是因为删除只是一时的，并沒有解决的根本原因如果是你自己写的网站熟悉还好，不是自己写的建议找专业的公司来处理解决网站被篡改的问题，像Sinesafe,绿盟那些专門做网站安全防护的安全服务商来帮忙