前言
在服务器检材仿真过程中,浏览器有时会自动跳转到非预期的目标页面,这种情况常出现在aspx、php、html等多种页面文件类型中,此现象可能会给案件数据分析带来不便。因此,本文旨在深入探讨此问题,并通过分析两个具体的页面异常跳转案例,提供对策和解决方法。
01
常见解决思路
检查页面代码
首先,请核实页面代码中是否存在跳转指令。例如,若新建默认首页index.html,其内容如下:
这是一个HTML元标签(metatag),用于在网页中执行一些额外的指令。在这个例子中,它告诉浏览器在0秒后(即立即)自动刷新页面并加载新的URL(http://www.qianxin.com)。这种做法通常用于将用户从一个页面重定向到另一个页面。
在运用调试工具进行分析时,可知客户端访问所获得的响应码为200。然而,实际上页面跳转的行为是由浏览器执行的,而非服务器返回异常。
如果存在此类代码,请将其删除或修改为正确的跳转地址。
检查站点配置
检查服务器端的站点配置文件web.config。如果使用的是IIS服务器,确保正确配置了以下设置:
这段代码是用于IIS服务器的URL重写规则。它的作用是将所有请求重写到"index.html"页面上。具体解释如下:
-
rule name="rule1" stopProcessing="true":这是一个具体的URL重写规则,名称为"rule1",并且设置了stopProcessing为true,表示匹配到该规则后停止继续处理其他规则。
-
match url="^(.*)$":这是匹配URL的正则表达式,它匹配所有URL。
-
add input="{REQUEST_FILENAME}" matchType="IsFile":这个条件指定只有当请求的文件存在时才执行重写操作。
-
action type="Rewrite" url="index.html":这是重写操作的配置,它指定将请求重写到"index.html"页面上。
通过此配置,在访问不存在之文件123.html的URL时,IIS服务器将把请求重写至"index.html"页面,从而实现页面转跳之目的。尽管浏览器仍访问默认首页"index.html",但跳转过程由服务器端完成,客户端并不知晓文件123.html实则不存在。
根据实际情况调整规则名称和目标页面地址。
清除浏览器缓存
有时候,浏览器缓存会导致跳转问题。请尝试清除浏览器缓存,然后重新访问页面。
检查服务器端脚本
如果以上方法都无法解决问题,请检查服务器端脚本(如ASP.NET、PHP等),例如如下php页面的转跳方式,确保没有异常输出或错误。
程序限制脚本
部分商业程序中默认带有“关闭网站”的功能,在遇到此类问题的时候可以通过修改数据库中控制字段或者进入后台修改“关闭网站”功能即可。
02
案例一
检材源系统遭受入侵,所有访问系统中IIS服务下的页面均会跳转至一个特定页面。无论是绑定在IIS下的多个网站域名,还是单个ASP、PHP测试文件,甚至TXT文本文件,访问时均会自动跳转,如下图所示。
检查IIS服务的端口监听,确认80端口所提供的服务确为IIS服务监听,排除iis-user权限问题,排除伪静态跳转问题,新建站点指向已存在网站目录以排除配置文件web.config错误。最后,在运用调试工具进行分析时,发现所有请求的响应码均为403,如下图所示:
在iis服务配置中找到错误页配置,找到自定义错误页面的存放目录为:%SystemDrive%inetpubcusterr
在C:inetpubcusterrzh-CN目录中找到了被修改的403.html文件
HTTP 403错误是服务器上的文件或目录访问权限问题。当客户端尝试访问受限制的资源时,服务器会返回403错误。这可能是由于文件或目录的访问权限问题,或者是因为Web服务器配置了防止浏览目录列表的功能。
经检查,在“IP地址和域限制”的配置中发现了针对所有IP地址的拒绝访问设置。在移除该限制配置后,检材上的所有网站均可正常访问。
通过对403.htm文件被篡改的时间与其他默认页面时间不一致的分析,可以发掘另一个排错方法,即通过询问系统遭受入侵的大致时间或网站异常时间段,在系统中进行时间段搜索,从而迅速定位被修改的文件。
03
案例二
某案件中服务器镜像仿真后,通过netstat命令查看80端口发现监听服务为nginx。
客户端直接访问http://192.168.91.9/,提示“该站点已经被管理员停止运行”,推测页面正常访问被拦截或者程序限制。
使用ps命令定位nginx服务启动使用配置文件“/www/server/nginx/conf/nginx.conf”。
查看nginx默认配置文件nginx.conf,发现实际网站配置文件被主配置文件使用include方式二次调用,网站配置文件为houtai.com.conf,域名为:houtai.com,网站根目录为:/www/server/stop/public。
此目录下默认页面为index.html,查看源码title内容与客户端访问一致,确定并非为网站实际目录。
修改网站nginx配置文件的网站目录为/www/wwwroot/tianyun/public并重新访问,发现报错页面发生变化,跳转提示页为thinkphp框架默认跳转页面。
通过分析程序后台Mysql配置文件database.php确定数据库访问权限,数据库名为:xiaoma。
使用navicat数据库管理软件连接数据库xiaoma,查找程序对应网站前台“关闭网站”的定义字段web_site_close,查看字段解释为0为关闭,1为开启,修改此字段为1,并删除网站程序同级目录下runtime缓存目录。
再次访问http://192.168.91.9浏览器成功地转跳到业务接口/home/login/index,至此问题排查完毕,可以继续开展后续数据分析工作。
结语
理解和处理服务器检材仿真过程中出现的页面跳转问题,要求我们深入掌握网站访问的内部机制以及中间件的作用。
如图所示,浏览器访问网站的详细流程包括中间件(如Nginx或IIS)对HTTP请求的处理过程。在此过程中,中间件负责资源访问控制和伪静态处理。对于静态文件,直接返回;而对于PHP页面请求,则转发给解释器。当中间件从解释器取出资源时,网站程序也会进行自身路由处理,从而返回404页面不存在或其他自定义返回。这一系列步骤展现了网站访问过程的复杂性及处理页面跳转时需考虑的多方面因素。
通过本文提供的策略,包括代码审查、站点配置检查、缓存管理、脚本调试和系统服务管理,我们可以有效地解决此类页面跳转问题,从而提升数据分析的准确性和效率。
原文始发于微信公众号(奇安信司法鉴定):页面跳转不再是难题:网站仿真指南与实用案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论