• 跳着看完了电视剧《三大队》
  • 快云存储空间
  • 自建反代Imgur
  • 群晖图床测试
  • 企鹅微云直链图测试
  • 博客迁移至外网
  • 持有VPS测试结果存档
  • 换了个大框的眼镜,终于不往下掉了……
  • 折腾了半天又回归了WP,还是这个上手!

【骗局】咸鱼套口令网址跳转漏洞(事件后续持续关注中)

热点关注 主人 4年前 (2020-07-06) 1061次浏览 0个评论

故事的经过是这样的:
正常路径:
用户复制淘口令到咸鱼,咸鱼会以网页形式打开链接,并自动登录(大家可以复制一个淘宝口令试一下),不用登陆可以下单购买,付款只能支付宝付款(没有网页付款)
被骗路径:
用户复制伪装的淘口令,咸鱼以网页形式打开淘宝,然后自动跳转到到 http://suo.im/6bvtlW,就好比你自己手机开个浏览器打开 http://suo.im/6bvtlW,剩下不解释了,都是常规骗人套路
只能说想到这个方法的人牛逼啊!!!!!!!

¥jLFM1x086Lm¥淘口令解析结果:
淘口令链接:https://login.taobao.com/member/login.jhtml?redirectURL=http://suo.im/6bvtlW&un=382bc58ace73c8f855673e655f78e05b&share_crt_v=1&spm=a2159r.13376465.0.0&sp_tk=77+ld3VCRzFFV2xNQXHvv6U=&ut_sk=1.utdid_12574478_1593797476511.TaoPassword-Outside.windvane
淘口令标题:陪玩#可夜
淘口令剩余时间:28 天 0 小时 3 分 9 秒
然后先把短连接打开,发现会自动跳转 http://suo.im/6bvtlW,解析后的原链接:http://zhuanzhuan-58.com/xy/?i=583682346360333186r.shtml&liequSourceFrom=045767243067474117u&ClickID=616
后面参数先不要管,打开,这个网址贼骚,检测到你电脑访问就跳转咸鱼,手机访问正常(现在手机也打不开了,全部跳转咸鱼,主站跳转百度,骗子日常操作)

什么买耳机被坑,这不是搞陪玩被骗了,这是一个高仿咸鱼的网站,点击我想要,会提示淘宝打开,然后出现付款(楼主说咸鱼有网页支付,但是咸鱼客户端付款是不支持网页支付,这里因为是网页打开,所以出现了网页支付),调用支付宝,然后你懂的!出现付款界面,收款商家为那个交易猫,老规矩,冲 q 币洗白。至于跳转后面的参数百度搜索 TaoPassword-Outside.windvane,会发现好多类似熟悉参数的淘宝客链接或者聚划算链接之类,这一堆参数估计是为可以生成淘口令用的(淘口令生成有严格参数限制的),没玩过淘口令就不解释了。

事情总结:这事应该淘宝背锅,傻吊,竟然不搞白名单,咸鱼兼容淘宝口令的方式通过网页版打开淘宝链接的,而且是自动登录的,所以假如一个假的淘口令,当你复制到咸鱼后,他会自动登录你的淘宝账号,然后跳转到 http://suo.im/6bvtlW

文章若有侵权,请联系本站作者。
喜欢 (30)

文章评论已关闭!