1. 爱运营首页
  2. 互联网新闻

网传利用闲鱼APP打开网页漏洞骗局全揭秘

事件

网上疯传的

网上疯传的

网上疯传的

网上疯传的

网上疯传的

网上疯传的

网上疯传的

网上疯传的

网上疯传的

网上疯传的

分析

¥jLFM1x086Lm¥淘口令解析结果:

淘口令链接:https://login.taobao.com/member/ … rd-Outside.windvane

淘口令标题:陪玩#可夜

淘口令剩余时间:28天0小时3分9秒

然后先把短连接打开,发现会自动跳转http://suo.im/6bvtlW,解析后的原链接:http://zhuanzhuan-58.com/xy/?i=5 … 17u&ClickID=616

后面参数先不要管,打开,这个网址贼骚,检测到你电脑访问就跳转咸鱼,手机访问正常(现在手机也打不开了,全部跳转咸鱼,主站跳转百度,骗子日常操作)

网上疯传的

什么买耳机被坑,这不是搞陪玩被骗了,这是一个高仿咸鱼的网站,点击我想要,会提示淘宝打开,然后出现付款(楼主说咸鱼有网页支付,但是咸鱼客户端付款是不支持网页支付,这里因为是网页打开,所以出现了网页支付),调用支付宝,然后你懂的!出现付款界面,收款商家为那个交易猫,老规矩,冲q币洗白

网上疯传的

至于跳转后面的参数百度搜索TaoPassword-Outside.windvane,会发现好多类似熟悉参数的淘宝客链接或者聚划算链接之类,这一堆参数估计是为可以生成淘口令用的(淘口令生成有严格参数限制的),没玩过淘口令就不解析了:

事情总结:这事应该淘宝背锅,傻吊,竟然不搞白名单,咸鱼兼容淘宝口令的方式通过网页版打开淘宝链接的,而且是自动登录的,所以假如一个假的淘口令,当你复制到咸鱼后,他会自动登录你的淘宝账号,然后跳转到http://suo.im/6bvtlW

所以故事是这样的:

正常路径:

用户复制淘口令到咸鱼,咸鱼会以网页形式打开链接,并自动登录(大家可以复制一个淘宝口令试一下),不用登陆可以下单购买,付款只能支付宝付款(没有网页付款)

被骗路径:

骗子先发布淘口令(正规的可以被咸鱼淘宝识别的淘口令),用户复制淘口令,咸鱼默认以网页形式登录淘宝,然后网址的redirectURL自动跳转到http://suo.im/6bvtlW,接下来就就是在咸鱼app内部网页打开http://suo.im/6bvtlW,这是一个高仿的咸鱼界面,和真的一模一样,让人误以为在咸鱼app里,实际是咸鱼内部打开的网页,剩下不解释了,都是常规骗人套路,只能说想到这个方法的人牛逼啊!!!!!!!

ps:后续,和支付宝客服反馈,踢给淘宝,和淘宝客服反馈,踢给咸鱼,然后咸鱼反馈了,给了结论,确实存在这个漏洞,但是我们就是不改,你要被骗了就去报警,我们只负责有订单号的!

看到没,什么叫牛逼,这就叫牛逼,我觉得可以向媒体反映一下,再来个标题“阿里淘口令惊现漏洞,或导致上亿人受影响”

网上疯传的

去年今日运营文章

  1. 2019:  做运营的先别急着谈用户,产品才是第一步(0)
  2. 2019:  20个Excel操作技巧,提高你的数据分析效率(0)
  3. 2019:  一张图,解决你头疼已久的微信公众号涨粉问题(0)
  4. 2019:  如何做出有价值的竞品分析?(0)
  5. 2019:  SmartBrief:营销人员认为促销视频能带来最高转化率(0)

本文转载于网络,本文观点不代表爱运营立场,转载请联系原出处。如内容、图片有任何版权问题,请联系爱运营处理。

发表评论

登录后才能评论