近日空间被朋友们的一条转发给刷屏,看了下内容明显是带有引诱点击的。
当时猜测是 CSRF 攻击,点击开链接就转发,然后我就抱着转发就转发、大不了再删的心态点开了这个分享。
点开之后发现是强制要求转发,并且回退无效,然后我就强制结束了 QQ 的进程并重新打开。
检查了下空间没有转发内容,但是多了几个关注(当场取消掉了)。
过了一天以后才发现自己其实分享了该内容,但是自己看不到。
电脑端复制出来的链接是这个:
看了下最终跳转到这里 http://m.jquery.kim:8090/web/if.php?0.2897498789211237
电脑端是访问不了的,模拟了 UA 返回的是已经被和谐(手机端仍旧能打开)。
有没有大佬可以分析下。。。
1
virusdefender 2019-03-20 10:54:30 +08:00
应该是 xss 偷了 sid 然后去转发的,qq 空间这种问题之前出现过非常多次
|
2
idyu 2019-03-20 10:57:50 +08:00
我也遇到了,跟你一模一样的操作,第二天有人艾特我我才知道
|
3
diefishfish 2019-03-20 13:21:42 +08:00 via iPhone
估计是腾讯公益的一个页面出问题啦
|
5
Akill47 2019-03-25 10:57:35 +08:00
在哪看到跳转到哪的?
|
6
huiyadanli OP |