登录某宝的时候我还以为我遇上了盗号木马

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1846 天前的主题，其中的信息可能已经有所发展或是发生改变。

一直以来登录某宝的时候都是用的密码自动输入，今天缓了一下，然发现登录页面不太对劲，登录的位置长这个样子：

隐约发现下面还有一层东西，还有一个登录按钮，当时第一反应是，莫不是我遇上了盗号木马？这玩意创建了一个伪造的登录表格让我输入账号密码？

登录很快就完成了，根本没来得及让我截图。

于是我又退出登录，反复刷新了好几次页面，又遇见了。

这木马还挺智能啊，知道反侦察~

为了确保不是浏览器被注入了，我又打开了虚拟机，用里面的浏览器反复刷新这个页面，又复现了。

刚刚已经登录成功了，那我的账号信息岂不是已经泄露了？

然而，当我分析页面代码的时候，发现了这个，登录框后面是这个东西：

……

某宝的美工你是认真的吗？……

完整的图片地址是这样：

https://img.alicdn.com/tfs/TB1A9Ek38r0gK0jSZFnXXbRRXXa-2500-600.jpg

真相？

把这图传到图床以防消失：

真相？

又：

突然又多了一个想法，要是一个木马先伪造登录框，获得密码之后立刻销毁证据，又用这种图片把内容替换掉，伪装成“啊，这只是一个失误”，似乎也没办法证伪吧？

……

我的被迫害妄想症又一次加重了……

另外真是无力吐槽，一直给我推荐女装，我买的哪样东西让某宝产生了错觉我需要女装？

木马

页面

盗号

44 条回复 2020-12-12 21:08:58 +08:00

chinvo

2020-12-12 11:08:20 +08:00 via iPhone

对于你后面那个疑虑，有个求证的方法：

先检查本地信任 CA，这个 CDN 也上 HTTPS，即使是本机有木马，要劫持也得插证书

另外还可以查看域名的 HSTS 状态，看看淘宝有没有这 CDN 域名设置 HSTS，如果有，那么在本机 CA 无异常的情况下就足以保障这个链接的安全性了。如果没有，那么木马还是有可能在特定时间插入可信证书然后完成攻击后删掉的。

ByZHkc3

2020-12-12 11:13:44 +08:00

p0 杰作，这是开发用图给弄到线上了吧

wdy3334

2020-12-12 11:15:24 +08:00 via iPhone

@chinvo 后面的疑虑，我还以为是女装的疑虑，哈哈哈

chinvo

2020-12-12 11:20:55 +08:00 via iPhone

突然想到还有一种攻击方式是页面加载完之后向 webview 注入脚本，这种攻击方式要排查就比较麻烦了

Rekkles

2020-12-12 11:25:48 +08:00

花钱找外包

haozi1986

2020-12-12 11:41:15 +08:00

@chinvo #4

如果是真的，等到发现并开始排查的时候已经被盗了……

haozi1986

2020-12-12 11:43:30 +08:00

@Rekkles #5

这种质量，外包收费多少？

上次听说某宝在用 AI 自动创建内容图片，但这张图我感觉应该是人工创建的

ihipop

2020-12-12 11:43:33 +08:00 via Android

文思海辉就是做外包的

ByZHkc3

2020-12-12 11:46:33 +08:00

@haozi1986 这是外包留图，不知道怎么过的项目测试

haozi1986

2020-12-12 11:52:12 +08:00

@ihipop #8

刚刚搜索了一下，的确，之前还不知道这个的存在

haozi1986

2020-12-12 11:53:58 +08:00

@ByZHkc3 #9

也许是双 12 图太多没一一检查？

很无语的是，我这边在登录页面刷新个两三次这图就会冒出来

yuzo555

2020-12-12 11:54:42 +08:00

发个和主题无关的事情，楼主用的图床，i.niupic.com ，被湖南电信和湖南移动解析到本地地址 127.0.0.1 了，全国其它地址都是正常的，不知道啥原因，感觉是 DNS 服务器出问题了

yuzo555

2020-12-12 11:57:28 +08:00

楼主这个问题我也复现了，哈哈

haozi1986

2020-12-12 12:02:22 +08:00

@yuzo555 #13

这么说起来，某宝正在跟全国人民推广女装？

atx

2020-12-12 13:33:24 +08:00

哈哈, 我试了下刷新也能看到这个背景图

npm

2020-12-12 14:43:09 +08:00

刚刚好奇的看了下，确确实实出现了，和楼主看到的一样

akxjune

2020-12-12 14:47:03 +08:00

+1，和楼主看到的一样

lower

2020-12-12 14:55:14 +08:00

刷了一下，同样也出现了这个图，，楼主可以基本放心自己系统是安全的了……

jingniao

2020-12-12 14:55:16 +08:00

这种问题多久能发现，并修改？
还是说等 12.12 过了，更换图之后内部发现问题的人也不提，默默更换图，当问题不存在？

liukangxu

2020-12-12 14:56:26 +08:00

+1 复现了

ByZHkc3

2020-12-12 14:56:54 +08:00

/div>

@jingniao 估计双十二不给做更新，非功能性问题暂时就没更新吧

akring

2020-12-12 15:27:25 +08:00

文思海辉的外包质量。。。就一言难尽吧。今年看来有人要 3.25 了

haozi1986

2020-12-12 15:38:01 +08:00

@lower #18

发现真实原因之前，我已经把密码改了，哈哈

CloudnuY

2020-12-12 15:52:19 +08:00

点这个图进去的活动页 title 也没有，全页宋体……

iTakeo

2020-12-12 15:56:56 +08:00

https://img.alicdn.com/tfs/TB1A9Ek38r0gK0jSZFnXXbRRXXa-2500-600.jpg

大家都是这样的，背景图估计搞错了

justfun

2020-12-12 16:05:56 +08:00

![1607760214198.jpg]( https://i.loli.net/2020/12/12/LYdy6tsRbpxhC5G.jpg)
![1607760160710.jpg]( https://i.loli.net/2020/12/12/U6MkGEo85sNLYe1.jpg)

复现成功刚进去就是这个页面。背景图上自带登录框和登录表单重叠了。天才美工

justfun

2020-12-12 16:10:23 +08:00

刷新了多，一共就俩背景图。一个下载手机淘宝的、一个就是这个女装热卖。不是说千人前面吗，这么大个广告位不利用起来