V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
20150517
V2EX  ›  问与答

发现一个恶意链接,通过网页能自动打开你支付宝红包

  •  
  •   20150517 · 2018-02-25 17:16:06 +08:00 via Android · 1314 次点击
    这是一个创建于 2461 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://www.zhihu.com/question/267051875

    复现方法,你要用安卓知乎客户端打开知乎这个问题。然后点这问题上的优酷链接,然后优酷网页就在知乎浏览器里打开了,再过几秒,我的支付宝就被打开了。。。
    我确认不是因为劫持,我不是国内的。但直接打开那个优酷链接又无法复现,想知道什么原理?
    有人能复现吗?
    7 条回复    2018-02-27 01:35:33 +08:00
    20150517
        1
    20150517  
    OP
       2018-02-25 17:19:14 +08:00 via Android
    啊,明白是, 这是 xss 攻击啊,链接长的惊人,后面其实是段 js 代码
    http://m.youku.com/video/id_XMzQwMTM3NTk0OA==.html?tpa=dW5pb25faWQ9MTAzNzQ5XzEwMDAwMV8wMV8wMQ&source=https%3A%2F%2Fm.baidu.com%2Ffrom%3D1017188c%2Fbd_page_type%3D1%2Fssid%3D0%2Fuid%3D0%2Fpu%3Dusm%25402%252Csz%2540320_1003%252Cta%2540iphone_2_7.0_1_%2Fbaiduid%3DDB66458E1EE454A4E25BA8FD7243E8FB%2Fw%3D0_10_%2Ft%3Diphone%2Fl%3D1%2Ftc%3Fw_qd%3DIlPT2AEptyoA_ykzsO9axOevDliXqoB5oz23%26wd%3D%26eqid%3Dd567aeecd73fe000100000065a83a16d%26ref%3Dwww_iphone%26lid%3D15377451784926649777%26order%3D2%26isAtom%3D1%26tj%3Dvid_hor_2_0_10_1%26tcplug%3D1%26sec%3D27626%26di%3D6123af1dd9bc9a9d%26bdenc%3D1%26nsrc%3DIlPT2AEptyoA_yixCFOxXnANedT62v3IEBuZMC1KAjer95u7gfTqXdNpX8KhVmiOHF_wdoSMe1lYby8-OzFezB1xbPh6sF6ulyyxvK_fdhO1UMl3agAU1sLWWGVqp0vPyKkfduJoRtEzUyt-kun6fR-kaRiBf21c8vnH8j0bhriQYoT-2ILYwX3PKH6ER9PEDtCpucvNnG9dHZe12tWxHzGWgDQMXTNcbsihiPJDDQnJ7zlzK2akRtRNZFr8QicMXRicZhS-5MqZSEMO6zMn4nQuo6KjqbrHFntRWajZm2RQL08mYKGeLYb6CcFXk0O4HbsoL_PErucDMjUnv-B9VSwCE0P71iGVCZY-Y1PyePemPZk6vEPsHxXL89onK4LOIOdUUxdqTURosSyEuNmUmTqhL0DFddNlTNIwLimK9os2j6kxLlHKcE8H9GMLdSLQSJ8E3yfW_2WMKmZ7ntXGNK0RWtzOCyN4mnfSpUT8ozHsGOjHON2qwTUX7EZsTUzudLmKEjDjGe0po1FD8hG2i0nbzmm9j9iUp-8LQODF4_wE06VLrqV_Lle6yFjeykgyOtXKiIDiTW38mJswk3jxu9IYwPA2VO1ePuSfNcYTxeD8xVNdS-NBpBDXS0Vf1k75i3kXZPGgLFytVov9Wk5e6rsrUWC0JC_Xj3_ZEZEnRVCUT8OrFRc5c8FNhkNpDRf3HGq6h2BfJYq1ltR0C3PUw6oWENNHQZM1jFi7TySeLKa08rUFk8w45qxLPWix40CF7DFvsRxCVoTBfw4YLwj-pDVqiSa3dcMpBam7HlyY7GDWMqVCdl7ERFuTrZ75vLoDyJ5oqwWqMHj1pP24NoNAorvk_Zrr4IHMGU5l10PfAQp2p--BqZkTWo21HlgtIb7xUfcFfIABWGJRdAV7XJZglvJKE5030UX1OPz0pXdp8oKVmbPBWT7nYX1Mtm9mAudAqePOGWKcGs4krb-zvHWbN3BGwFmiF66QDBym-beBeTI5XbnRff44oGRYjfoFoxxRdX9S2MoVDsQOK-03fuDTx22CyGcjC11-8O4LbbpEzKnNXNeeDsYfWeNPH2d-7M7-EfgObyQOuujU2ZN6nZNnojPHAOgxe3fDxXLMywPjRwxegi8u8ZOkisoDfywYljnpyhF0M9V4KHOJ2gF2L7rsREX8sT7oxCoAljdcgrxZqfOqQbczkxpQRc21Zjw9mimYPBv_jrmTynQ_IAqw50Nc5Vx0kqgns6cSMlnJ4Es3nSGcjuxgqt0f6EY_bAqpcvUP580nLi1YPnl8tmc7fJEGAZDSUJ_9VW8IOWcsIOdcMQ2HA9EIF6fcU5tsrK0PqgPZrsqNyrn-rUuscW3sm4zUAOa2sx4eUYcp180bDLtAdP6Fg9R3bCcxD47k6wlzok8rsa2PIrllrXBjzP1Sp8ZdDnwkWjkvKSCZloJEONxTg0V1Kr2_pA2CQkIbAifqNDlfET_m7p7jzAGdVt
    20150517
        2
    20150517  
    OP
       2018-02-25 17:35:06 +08:00
    感觉也太不对,没有代码来解析的
    Telegram
        3
    Telegram  
       2018-02-25 22:48:27 +08:00 via iPhone
    老哥,你 out 了
    Telegram
        4
    Telegram  
       2018-02-25 22:50:48 +08:00 via iPhone
    噢,原来你说的不是链接唤醒支付宝红包的技术,说的是优酷链接跳转利用
    20150517
        5
    20150517  
    OP
       2018-02-26 06:17:44 +08:00 via Android
    @Telegram 怎么说?我是 out 了
    cysroad
        6
    cysroad  
       2018-02-26 14:49:20 +08:00
    我之前看今日头条,也发现有些内嵌的第三方 H5 的新闻链接会自动打开我的支付宝,领红包。后面我在系统里面把今日头条的权限关了,就没有碰到过了
    20150517
        7
    20150517  
    OP
       2018-02-27 01:35:33 +08:00
    @cysroad 我知乎只有 storage 权限
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5314 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:04 · PVG 16:04 · LAX 00:04 · JFK 03:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.