全球主机交流论坛

标题: 老哥们帮忙看看这个钓鱼网站 [打印本页]

作者: shangji666 时间: 2023-11-16 23:10
标题: 老哥们帮忙看看这个钓鱼网站
【闲鱼】https://m.tb.cn/h.53rBqo9?tk=YSHTW2pn5nB CZ3457 「淘口令#快来捡漏【验货宝…】」
这个链接在闲鱼上打开后直接跳转到支付宝，点击付款后的流程和闲鱼一样。有没有老哥看看这是怎么实现的？
另外这种网站老哥们看看是不是上点强度让它404一下？
上面的高仿站域名yhdutu.top/h5.2.taobao/index.php?te=1&ClickID=166 如果不按照这个链接进去就返回无响应而且block ip

作者: cherbim 时间: 2023-11-16 23:59
本帖最后由 cherbim 于 2023-11-17 00:48 编辑

这TM的阿里系内部白名单问题，
原理很简单：比如你可以经常可以在咸鱼上看到淘宝广告，你打开广告链接，会用咸鱼内置浏览器打开淘宝商品链接（此时你的设备没安装淘宝也可以打开的），并调用支付宝正常付款，理论上来说应该只允许淘宝的域名打开，也就是白名单只有淘宝的域名，
那么问题来了，某些不法分子利用白名单漏洞，让咸鱼可以打开自己的网站，然后再1:1像素级模仿咸鱼的商品链接，就会有个倒霉蛋，花了钱连订单都找不到，然后哭哭戚戚的去找客服，客服还不理他（论坛里就有一位）
上次那个倒霉蛋是在咸鱼内置浏览器被骗的，这个是在支付宝内置浏览器被骗的

一般这种一抓一个准，他肯定用了淘宝某项业务，上一个好像一个月就抓到骗子了
https://91ai.net/thread-720115-1-1.html
yhdutu.top/h5.2.taobao/index.php?te=1&ClickID=166

作者: 御坂 时间: 2023-11-17 00:22

cherbim 发表于 2023-11-16 23:59
这TM的阿里系内部白名单问题，
原理很简单：比如你可以经常可以在咸鱼上看到淘宝广告，你打开广告链接，会 ...

阿里的白名单不会是包含“taobao.com”即可吧
emmmmm

作者: Slime 时间: 2023-11-17 00:50
之前还有直接让买家确认收货的漏洞
https://zhuanlan.zhihu.com/p/625230704

作者: kikuri 时间: 2023-11-17 02:04
害怕,这么雷

欢迎光临全球主机交流论坛 (https://91ai.net/)