支付宝红包暴力薅羊毛

最近看到各种论坛群里满天飞红包段子链接,比如这种:

穿山甲到底说了什么,打开“xxx”查看~

支付宝被爆巨大漏洞,打开“xxx”查看~

腾讯会员 1 毛钱一个月,速速打开“xxx”领取~

点击链接,自动给你跳转到支付宝红包界面,好吧,又被人撸羊毛了~

作为一个安全学习者,怎么能不追求热点去学习一波这种神奇的操作是如何进行的呢~

特地去知乎搜了一波,果然有各路大佬在分享源码,特地弄了一个进行源码审计,学习学习~

源码分析

大佬分享的源码如下:

对于以上代码需要了解一下基础,如下:

1、来了解一下 Navigator 对象,Navigator 对象包含有关浏览器的信息,上面的 userAgent 属性是一个只读的字符串,声明了浏览器用于 HTTP 请求的用户代理头的值。

所以我们可以通过判断 navigator.useragent 里面是否有某些值来判断。

简单来说,可以理解成 http 请求头读到的 uesr-agent。

2、举个例子

window.location.href = /Android|webOS|iPhone|iPod|BlackBerry/i.test(navigator.userAgent) ? "https://www.baidu.com/" : "http://news.baidu.com/";

利用了正则表达式和三目运算符,含义就是如果是移动端打开的话那就跳转到 https://www.baidu.com/,如果不是就跳转到 http://new.baidu.com/,实际上就是利用正则去判断 navigator.useragent 是否含有 Android/webOs/iphone 等字符串,并且利用修饰符 "i" 做了不区分大小写,然后用正则的方法 test 去判断是否满足。

思路介绍

这是一个比较火的源码,上面是我的一些分析,其实思路真的是比较简单,分几步给大家介绍一下吧

1、从支付宝红包界面选择发红包 -> 立即赚赏金 -> 二维码,拿到一个这样的二维码!

2、拿到二维码,使用各种免费的网站进行解析,分析出其中的文字链接,比如我的:

3、将上述源码中开头的变量 a,b 进行替换,然后将网页丢入你自己的云服务器即可。为了增强别人的信任,还可利用新浪的短链接生成一个别人看不出来路短链接域名,配合上各种吸人眼球的段子就可以大量传播发红包了~

代码思路分析:

1、其实就是利用了链接跳转

2、如果是知乎等 app 未设置拒绝浏览器唤醒,相当于进行了跳转到浏览器,再跳转到支付宝

3、如果是微信,会进一步针对安卓或者 ios 进行接口调用,唤醒浏览器进行二次跳转

4、归根结底,就是利用了浏览器做二次跳转~

截止到本文发布前,实测:

1、微信已经无法利用此代码进行浏览器的唤醒操作。

2、qq 测试的结果是只能打开自带的内置 qq 浏览器然后不能唤醒支付宝~

3、其他如 uc 浏览器直接测试,或者知乎等都还是可以的;

4、总结下:其实如果针对这些不需要进行调用接口进行唤醒浏览器的 app 来说,直接可以将你得到的那个支付宝链接通过新浪短连接生成一个隐蔽的短连接去让别人点击即可~

你以为到这里就结束了?

错了,作为一个安全学习者,怎么能不从安全的角度进行分析呢!

从安全角度分析,虽然这是一场流量大V的发红包狂欢,但不得不防有犯罪分子乘机构造各种恶意链接混在其中去获取的个人信息!

可能你点击的前一万个链接都是跳转支付宝的链接,你慢慢的就放松了警惕,忘记了爸爸妈妈所说的,新闻中报到的各种不明的链接不能乱点的警示案例~

以上利用方式其实就是大家所熟知的 CSRF,下面就简单介绍一下 CSRF 攻击。

CSRF 攻击介绍

CSRF(Cross-site request forgery),它的中文名称是跨站请求伪造 也被称为:one click attack/session riding 缩写为:CSRF/XSRF 简单地说,CSRF 就是利用了我们的登录状态或者授权状态,然后做一些损害我们自身利益的事情。

举个例子:

比如说你转账的链接的链接是

http://www.yinghan.com/money.php?count=10&&id=xxxxxxxxxxx

10 代表的是金额,id 代表的是转账到的账号。

你可能说我没登录银行,我就点一下这个链接又能怎样。

这个理解就错了。

很多时候,绝大多人为了方便,可能会使用浏览器的记住密码功能,或者点击网站上免登录的这个选项;

这本身没问题,但是当你点击了不良链接的时候,你的身份(cookies)就会跟着你一起访问这个页面,银行则会认为这是你的操作,所以交易成功了!(当然,实际生活中银行的判断不是仅仅这样,这里这是举例子)

实际情况

当黑客发现一个网站的 csrf 漏洞时,可能之前他没有什么好办法让你点击这个链接,但是,混在这个支付宝红包狂欢的时间,一个小小的链接,即可让你损失颇重~

关注下OWASP top10

2017 年 csrf 依旧稳居前十~

一路前行,方便虽好,安全第一~

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-01-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java进阶

聊聊TCP传输的滑动窗口协议的演进

398100
来自专栏FreeBuf

SpyDealer深度剖析:一个广泛针对中国手机APP进行信息窃取的恶意软件

随着Android智能手机的普及和各种功能APP的流行,人们已越来越多地依赖智能手机存储处理个人和商务信息,而这也成为了犯罪份子进行信息窃取的隐蔽途径。近日,P...

36540
来自专栏FreeBuf

伽利略远程监控系统完全安装指南

7月初,外媒用臭名昭著形容意大利的网络军火商公司hacking team及其被黑事件,黑吃黑的黑客将该公司rcs系统的安装程序、源代码和邮件打包供所有人下载,更...

417100
来自专栏互联网杂技

从输入URL到页面加载完的过程中都发生了什么事情

一个HTTP请求的过程 为了简化我们先从一个HTTP请求开始,简要介绍一下一个HTTP求情的网络传输过程,也就是所谓的“从输入 URL 到页面下载完的过程中都发...

373100
来自专栏数据和云

DBA生存警示:系统存储级误删除案例及防范建议

编辑手记:对于资深的老DBA们,他们在漫长的职业生涯中养成了很多稀奇古怪的守则,以在复杂多变的环境中“幸存”,这源于无数血泪的教训,我曾经在《数据安全警示录》一...

336100
来自专栏hotqin888的专栏

电子规范管理系统(2)

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/hotqin888/article/det...

18310
来自专栏编程札记

Goroutine并发调度模型深入之实现一个协程池

1.1K50
来自专栏美团技术团队

【沙龙干货】美团点评的Atlas实践

美团点评技术沙龙由美团点评技术团队主办,每月一期,每期沙龙邀请美团点评及其它互联网公司的技术专家分享来自一线的实践经验,覆盖各主要技术领域。 本次沙龙主要围绕数...

37150
来自专栏SDNLAB

话说VLAN Tag 的“来龙去脉”

前言 自从上篇文章《三层交换机的工作原理》发布后,有很多的网络爱好者私底下与我取得了联系,针对当前的TCP/IP网络做了很多的探讨,从这些爱好者身上我也学习到了...

491110
来自专栏Python中文社区

QQ空间爬虫最新分享,一天 400 万条数据

前言 本文为作者对其开源项目QQSpider的说明文档。主要替换了程序里一些不可用的链接,对登录时的验证码作了处理,对去重队列作了优化。并且可以非常简单地实现爬...

54270

扫码关注云+社区

领取腾讯云代金券