防二维码骗局科普小知识

如今，骗子既要紧跟科技进步，还要追起社会热点。16年3.15晚会上，“二维码扫描”骗局被集体曝光，他们立马升级套路，瞄准刚走红的共享单车。开锁二维码一换，用户不是稀里糊涂转了账，就是中了手机病毒全家桶。以为扫码开了车锁，其实是打开了自己的小金库。

所以，本篇文章着重介绍关于二维码的相关知识！

1二维码的特性

二维码骗局的产生在于二维码的两个特性：“人人皆可制作和发布”、“用户端不可控”，因此也出现了网络安全角度的问题

2二维码主要形式

当前的二维码主要有三种：

.静态码

活码

小程序码

3二维码漏洞

当前的二维码漏洞主要有两种：

1.钓鱼攻击：

通过覆盖原二维码、劫持原网站、利用原网站漏洞以及社会工程学等，诱导用户进入恶意网站

2.信息劫持：

通过利用二维码扫描端或二维码服务端的漏洞，在传递二维码的过程中，将正常对应的用户与商家的身份认证方向，修改为用户至恶意黑客的方向。

以上为二维码安全的概论，接下来，介绍一下在漏洞挖掘中，我们发现的一种新型的基于二维码的钓鱼攻击方式。

我们正常生成一枚二维码，使用的是如下方式：

$("#code").qrcode({

render: "table", //table方式

width: 200, //宽度

height:200, //高度

text: "www.helloweba.com" //任意内容

});

但我们发现，在一些网站生成二维码的接口处，由于并没有做充分的限制，导致二维码可以被任意生成。

将二维码扫描后跳转的URL设定为恶意网站的URL，而网址安全检测会认定该URL隶属于生成二维码的网站，比如：http://pan.baidu.com/share/qrcode?w=150&h=150&url=http://www.windpunish.net

http://ws.xoyo.com/core/qrcode/generate?text=http://www.windpunish.net

在百度与金山的这两个生成二维码的URL上，我们使其跳转为我们设定的网站。通过这样的方式，诱导用户扫描后进入网站，可以作为一种特殊的钓鱼攻击形式。

说到底，二维码就像一扇门。敲门之前先看看周围环境，穷街陋巷里点着粉灯，看着就不太正经的，还是绕着走为妙。

文|环宇繁星

每天推送信息安全小知识，守护信息安全