请问这个会盗号吗?淘宝淘宝怎么看购买时的页面发的链接,要输入提取码

来源:蜘蛛抓取(WebSpider) 时间:2018-09-18 14:15 标签: 淘宝怎么看购买时的页面
微博上点开我发的链接我就可登進你的淘宝支付宝和微博可盗号可挂马(poc中附若干从洞)

漏洞一、淘宝的二维码扫描登录功能存在劫持漏洞

用户登陆的二维码格式如下:

用户用手机扫描后,会在登录状态下去访问一个请求来给此二维码的值授权然后需要用户点击确认,然后完成授权这时浏览器端的會用授权后的参数去服务端获取登陆凭证,然后来登陆

但是扫描后的用户确认页无意义,因为最终的授权请求格式如下:

这里面的所有參数都是可猜测的未加token保护。攻击者可以把shortUR参数换成他的二维码中的shortUR然后直接欺骗登录用户去点击完成授权

我们可以获取到最终的登陸凭证格式如下:

经测试发现,不管是用户登陆的是web版还是移动端淘宝都可对此请求完成授权

就是说,只要用户在登陆状态下不管是電脑还是移动端,只要点了我的链接我就能用它的身份登陆淘宝了

漏洞二、互联网的便捷扩大了危害

很多人的淘宝是未登陆状态的,而苴我没法直接对话那么多登陆了淘宝的用户所以看起来只能搞搞熟人或是买家卖家

怎样和跟多的淘宝用户互动呢?我扶了扶镜框发现微博上很多用户都绑定了淘宝账号。而且即使你没登陆淘宝,微博的某些功能可以帮你自动登陆淘宝

如果你绑定了淘宝你在微博或客戶端微博上访问

浏览器会帮你自动登陆淘宝,所以思路就有了让用户先自动登陆淘宝,再去访问我们的攻击请求

但由于此请求不让被iframe所以我只能通过/webww/?

当然,你看它的漏洞原理的话它还可以是一个反射的xss,浏览器的xssfilter对它无效

漏洞出在js的跳转里未对跳转目标进行校验

会發现,除了同城的一些用户大部分用户的访问都被识别成异常登陆了,会弹出个短信或者动态口令认证

通过改IP等方式可以偶尔绕过一些,但成功率不高

怎么才能完美绕过呢我扶了扶镜框,发现了一个方法

在阿里旺旺里也有个内嵌页面的自动登陆,格式如下: 

 
 
 

 1、扫描②维码后的确认请求加token保护
 
 

 2、js跳转需要校验目标
 
 

 3、认证风控策略要统一,不要留一些弱策略的口子不要有短板

版权声明:转载请注明來源 @ 


  



                            

                                                    

                                

  

    

      
        两天没上淘宝 刚才上去一看 多了3筆订单 手机订单 话费充值的 不过都交易关闭了
        

          看了下单时间 9号晚上 后面两个订单下单时间相隔3秒
        

        

          各位表哥 这是什么情况  虽然没有损失 但是鬧心啊
        

        

          除了修改登录密码 还有什么要注意的吗
        

      		
    

  



                            

                                                    

                                

  

    

      

        
      

    

  

  

    

      万豪礼赏白金卡尊贵会员
    

  

  

    

      SPG白金会籍优先顾客
    

  

  

    

      
        

          

            

              

                

                  
                    

                      

                        前天去重庆通过淘宝上的代订了重庆南岸那家DT,358一晚无早
                      

                      

                        到酒店,报自己的名字顺顺利利入住了刷了500预授权。
                      

                      

                        昨天退房時前台说我的预订是积分兑换的,帐户的持有者不承认他做过这个预订被总部取消,要收我617.98的房费
                      

                      

                        联系淘宝上的卖家,他说不知道預订被取消给他发了酒店的水单后,他只同意退我向他订房的钱
                      

                      

                        叙述完了,就这样一个经过
                      

                    

                  		
                

              

            

            

              

                收藏是肯定,送花是美意打赏是鼓励!
              

            

          

          

            

              

                
                  

                    
                  

                
                
                  

                    
                      恭喜, 每10个回复奖励1个威望 每贴最高奖励10威望。
                    
                  

                  

                    
                  

                
              

            

          

        

      		
    

  



                            

                                                

                    

                

            

            


            

                
我要回帖

                

                    

                        
                        
                    

                

            

            

                        

                
更多关于 淘宝怎么看购买时的页面 的文章

                

                    
                

            

                    

        

            

                
 

                


                

            

            

            

                
随机推荐