¥jLFM1x086Lm¥淘口令解析结果:
淘口令标题:陪玩#可夜
淘口令剩余时间:28天0小时3分9秒
然后先把短连接打开,发现会自动跳转http://suo.im/6bvtlW,解析后的原链接:http://zhuanzhuan-58.com/xy/?i=583682346360333186r.shtml&liequSourceFrom=045767243067474117u&ClickID=616
后面参数先不要管,打开,这个网址贼骚,检测到你电脑访问就跳转咸鱼,手机访问正常(现在手机也打不开了,全部跳转咸鱼,主站跳转百度,骗子日常操作)
什么买耳机被坑,这不是搞陪玩被骗了,这是一个高仿咸鱼的网站,点击我想要,会提示淘宝打开,然后出现付款(楼主说咸鱼有网页支付,但是咸鱼客户端付款是不支持网页支付,这里因为是网页打开,所以出现了网页支付),调用支付宝,然后你懂的!出现付款界面,收款商家为那个交易猫,老规矩,冲q币洗白
至于跳转后面的参数百度搜索TaoPassword-Outside.windvane,会发现好多类似熟悉参数的淘宝客链接或者聚划算链接之类,这一堆参数估计是为可以生成淘口令用的(淘口令生成有严格参数限制的),没玩过淘口令就不解析了:
事情总结:这事应该淘宝背锅,傻吊,竟然不搞白名单,咸鱼兼容淘宝口令的方式通过网页版打开淘宝链接的,而且是自动登录的,所以假如一个假的淘口令,当你复制到咸鱼后,他会自动登录你的淘宝账号,然后跳转到http://suo.im/6bvtlW,
所以故事是这样的:
正常路径:
用户复制淘口令到咸鱼,咸鱼会以网页形式打开链接,并自动登录(大家可以复制一个淘宝口令试一下),不用登陆可以下单购买,付款只能支付宝付款(没有网页付款)
被骗路径:
骗子先发布淘口令(正规的可以被咸鱼淘宝识别的淘口令),用户复制淘口令,咸鱼默认以网页形式登录淘宝,然后网址的redirectURL自动跳转到http://suo.im/6bvtlW,接下来就就是在咸鱼app内部网页打开http://suo.im/6bvtlW,这是一个高仿的咸鱼界面,和真的一模一样,让人误以为在咸鱼app里,实际是咸鱼内部打开的网页,剩下不解释了,都是常规骗人套路,只能说想到这个方法的人牛逼啊!!!!!!!
ps:后续,和支付宝客服反馈,踢给淘宝,和淘宝客服反馈,踢给咸鱼,然后咸鱼反馈了,给了结论,确实存在这个漏洞,但是我们就是不改,你要被骗了就去报警,我们只负责有订单号的!
看到没,什么叫牛逼,这就叫牛逼,我觉得可以向媒体反映一下,再来个标题“阿里淘口令惊现漏洞,或导致上亿人受影响”
漏洞已修复,大家不用担心了!!!
-----------------------------------------------------
网友回复:
付款不看字,这就没什么好说了吧
网友回复:
卧槽,咸鱼这种漏洞都会出现……
被骗的快去支付宝投诉吧,骗子死全家
网友回复:
卧槽 看来很多骗子都是用的这个链接
我是买的耳机然后现在我打不开了刚才有个MJJ也说能打开那个口令
难道还能针对个人?你这边看到的是这个了
所以这个东西要怎么投诉咸鱼更好?
网友回复:
redirectUrl漏洞,在闲鱼APP内自动登录后,跳转到目标域名没有过滤,应只允许信任的域名可跳转,闲鱼应该背锅的。
网友回复:
我能说我上周刚写了篇论文,就是关于高仿咸鱼被抓的案例嘛
网友回复:
niubility
咸鱼要是出一个奖励模式,提交漏洞给奖励也好啊。估计被骗的只能认栽。
网友回复:
并不是自动登录你的淘宝号,那个自动登录是掩人耳目,实际上只是一个跳转,你用啥浏览器打开都行,压根不需要登录就显示自动登录
网友回复:
引用:a8866051发表于2020-7-601:50
并不是自动登录你的淘宝号,那个自动登录是掩人耳目,实际上只是一个跳转,你用啥浏览器打开都行,压根不需...
网友回复:
牛皮。。
不过这些骗子也是非常会玩
网友回复:
秀秀秀,哈哈哈,真相了
--
复制假淘口令试了下,从打开闲鱼识别到淘口令到支付,一趟操作下来行云流水。
部分页面有一点点假,细心的话应该会怀疑下,特别是支付时的那个订单商品名其实挺显眼的。
不过大部分普通用户应该注意不到这些,骗子牛逼。
网友回复:
淘口令那个网页只是为了跳转外部地址,不是为了登录淘宝
网友回复:
卧槽,咸鱼这种漏洞都会出现……
被骗的快去支付宝投诉吧,骗子死全家
网友回复:
引用:zhuzhenyu发表于2020-7-601:55
redirectUrl漏洞,在闲鱼APP内自动登录后,跳转到目标域名没有过滤,应只允许信任的域名可跳转,闲鱼...
网友回复:
引用:yifast07发表于2020-7-602:57
色字头上一把刀
网友回复:
这个确实是淘宝的锅,淘口令API和登录跳转都没做白名单处理!
网友回复:
我能说我上周刚写了篇论文,就是关于高仿咸鱼被抓的案例嘛
网友回复:
昨晚太晚了没来得及深究,我想的也是这样,页面是个假链接的跳转,楼主这个分析非常鞭辟入里,抽丝剥茧
网友回复:
利用了OAuthRedirectURL的漏洞,2017年的老漏洞了,可能一直没有被人引起重视。没想到这种错误阿里也会犯。闲鱼这锅一定要背了
网友回复:
为啥我昨天晚上和今天都复现不了这个操作呢,复制的口令进去咸鱼有弹出提示,然后就点不进去了
去17ce这个短网址全国都能访问,我这运营商的默认dns居然不行,感谢运营商
网友回复:
高仿咸鱼的程序我见过,有大佬说不懂代码,叫我搭网站,一看就知道搞什么了,
想拉我入局,说只做国外,跳转到充币平台,怂了不敢。
网友回复:
引用:快上车发表于2020-7-611:03
为啥我昨天晚上和今天都复现不了这个操作呢,复制的口令进去咸鱼有弹出提示,然后就点不进去了...
网友回复:
引用:快上车发表于2020-7-611:03
为啥我昨天晚上和今天都复现不了这个操作呢,复制的口令进去咸鱼有弹出提示,然后就点不进去了...
网友回复:
引用:cherbim发表于2020-7-611:07
你来晚了,骗子把网站全部跳转咸鱼了
网友回复:
这么骚气,网上交易需谨慎。
支付宝就算你举报了,最多封禁收款方账号,钱是铁定追不回来了。
追钱pp比较专业
网友回复:
刚才查了一下. 2016年就有人被骗了. 淘宝甩锅给支付宝,支付宝又甩给淘宝.至今无人解决
网友回复:
引用:adm!n发表于2020-7-613:53
刚才查了一下. 2016年就有人被骗了. 淘宝甩锅给支付宝,支付宝又甩给淘宝.至今无人解决...
网友回复:
大佬。。
其实技术很久了不过还是有人被骗、。。
网友回复:
看到这个网址就生气,被骗过1900
网友回复:
引用:sotandlat发表于2020-7-615:46
看到这个网址就生气,被骗过1900
网友回复:
然后网址的redirectURL自动跳转到http://suo.im/6bvtlW,接下来就就是在咸鱼app内部网页打开http://suo.im/6bvtlW,咸鱼app内部网页这个是明显安全问题,难道咸鱼没做安全评测。。。,那大家可以顺便。。。
网友回复:
引用:cmse发表于2020-7-712:00
然后网址的redirectURL自动跳转到http://suo.im/6bvtlW,接下来就就是在咸鱼app内部网页打开http://suo.im/...
网友回复:
引用:h20发表于2020-7-601:49
付款不看字,这就没什么好说了吧
网友回复:
这才是干货,
昨天那个傻逼mjj就知道甩锅.把论坛人当傻子