发现一个恶意链接,通过网页能自动打开你支付宝红包

2018-02-25 17:16:06 +08:00
 20150517
http://www.zhihu.com/question/267051875

复现方法,你要用安卓知乎客户端打开知乎这个问题。然后点这问题上的优酷链接,然后优酷网页就在知乎浏览器里打开了,再过几秒,我的支付宝就被打开了。。。
我确认不是因为劫持,我不是国内的。但直接打开那个优酷链接又无法复现,想知道什么原理?
有人能复现吗?
1255 次点击
所在节点    问与答
7 条回复
20150517
2018-02-25 17:19:14 +08:00
啊,明白是, 这是 xss 攻击啊,链接长的惊人,后面其实是段 js 代码
http://m.youku.com/video/id_XMzQwMTM3NTk0OA==.html?tpa=dW5pb25faWQ9MTAzNzQ5XzEwMDAwMV8wMV8wMQ&source=https%3A%2F%2Fm.baidu.com%2Ffrom%3D1017188c%2Fbd_page_type%3D1%2Fssid%3D0%2Fuid%3D0%2Fpu%3Dusm%25402%252Csz%2540320_1003%252Cta%2540iphone_2_7.0_1_%2Fbaiduid%3DDB66458E1EE454A4E25BA8FD7243E8FB%2Fw%3D0_10_%2Ft%3Diphone%2Fl%3D1%2Ftc%3Fw_qd%3DIlPT2AEptyoA_ykzsO9axOevDliXqoB5oz23%26wd%3D%26eqid%3Dd567aeecd73fe000100000065a83a16d%26ref%3Dwww_iphone%26lid%3D15377451784926649777%26order%3D2%26isAtom%3D1%26tj%3Dvid_hor_2_0_10_1%26tcplug%3D1%26sec%3D27626%26di%3D6123af1dd9bc9a9d%26bdenc%3D1%26nsrc%3DIlPT2AEptyoA_yixCFOxXnANedT62v3IEBuZMC1KAjer95u7gfTqXdNpX8KhVmiOHF_wdoSMe1lYby8-OzFezB1xbPh6sF6ulyyxvK_fdhO1UMl3agAU1sLWWGVqp0vPyKkfduJoRtEzUyt-kun6fR-kaRiBf21c8vnH8j0bhriQYoT-2ILYwX3PKH6ER9PEDtCpucvNnG9dHZe12tWxHzGWgDQMXTNcbsihiPJDDQnJ7zlzK2akRtRNZFr8QicMXRicZhS-5MqZSEMO6zMn4nQuo6KjqbrHFntRWajZm2RQL08mYKGeLYb6CcFXk0O4HbsoL_PErucDMjUnv-B9VSwCE0P71iGVCZY-Y1PyePemPZk6vEPsHxXL89onK4LOIOdUUxdqTURosSyEuNmUmTqhL0DFddNlTNIwLimK9os2j6kxLlHKcE8H9GMLdSLQSJ8E3yfW_2WMKmZ7ntXGNK0RWtzOCyN4mnfSpUT8ozHsGOjHON2qwTUX7EZsTUzudLmKEjDjGe0po1FD8hG2i0nbzmm9j9iUp-8LQODF4_wE06VLrqV_Lle6yFjeykgyOtXKiIDiTW38mJswk3jxu9IYwPA2VO1ePuSfNcYTxeD8xVNdS-NBpBDXS0Vf1k75i3kXZPGgLFytVov9Wk5e6rsrUWC0JC_Xj3_ZEZEnRVCUT8OrFRc5c8FNhkNpDRf3HGq6h2BfJYq1ltR0C3PUw6oWENNHQZM1jFi7TySeLKa08rUFk8w45qxLPWix40CF7DFvsRxCVoTBfw4YLwj-pDVqiSa3dcMpBam7HlyY7GDWMqVCdl7ERFuTrZ75vLoDyJ5oqwWqMHj1pP24NoNAorvk_Zrr4IHMGU5l10PfAQp2p--BqZkTWo21HlgtIb7xUfcFfIABWGJRdAV7XJZglvJKE5030UX1OPz0pXdp8oKVmbPBWT7nYX1Mtm9mAudAqePOGWKcGs4krb-zvHWbN3BGwFmiF66QDBym-beBeTI5XbnRff44oGRYjfoFoxxRdX9S2MoVDsQOK-03fuDTx22CyGcjC11-8O4LbbpEzKnNXNeeDsYfWeNPH2d-7M7-EfgObyQOuujU2ZN6nZNnojPHAOgxe3fDxXLMywPjRwxegi8u8ZOkisoDfywYljnpyhF0M9V4KHOJ2gF2L7rsREX8sT7oxCoAljdcgrxZqfOqQbczkxpQRc21Zjw9mimYPBv_jrmTynQ_IAqw50Nc5Vx0kqgns6cSMlnJ4Es3nSGcjuxgqt0f6EY_bAqpcvUP580nLi1YPnl8tmc7fJEGAZDSUJ_9VW8IOWcsIOdcMQ2HA9EIF6fcU5tsrK0PqgPZrsqNyrn-rUuscW3sm4zUAOa2sx4eUYcp180bDLtAdP6Fg9R3bCcxD47k6wlzok8rsa2PIrllrXBjzP1Sp8ZdDnwkWjkvKSCZloJEONxTg0V1Kr2_pA2CQkIbAifqNDlfET_m7p7jzAGdVt
20150517
2018-02-25 17:35:06 +08:00
感觉也太不对,没有代码来解析的
Telegram
2018-02-25 22:48:27 +08:00
老哥,你 out 了
Telegram
2018-02-25 22:50:48 +08:00
噢,原来你说的不是链接唤醒支付宝红包的技术,说的是优酷链接跳转利用
20150517
2018-02-26 06:17:44 +08:00
@Telegram 怎么说?我是 out 了
cysroad
2018-02-26 14:49:20 +08:00
我之前看今日头条,也发现有些内嵌的第三方 H5 的新闻链接会自动打开我的支付宝,领红包。后面我在系统里面把今日头条的权限关了,就没有碰到过了
20150517
2018-02-27 01:35:33 +08:00
@cysroad 我知乎只有 storage 权限

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/432501

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX