淘宝、闲鱼淘口令漏洞

2020年07月6日

转自hostloc, id:TIMI cherbim
漏洞描述,该网友在购买一副耳机的时候,对方发来了一段淘口令,他利用这淘口令在闲鱼app里打开却跳转到了另外一个短地址页面,被骗了495.00元。

这个是真实存在的漏洞,骗子或黑客伪造了一个淘口令,但淘口令里有一个经过短域名处理过的页面链接地址,用淘宝、闲鱼等app是可以正常识别的,维一不同的是app会用内置的浏览器组件来打开这个短域名地址并进行跳转到支付宝支付页面。

防范方法:不要去识别陌生的淘口令,在支付的过程中要先确认对方的收款信息和货物信息是否与商家一致。

在贴吧看到一个人卖 耳机
然后加我微信后 给我发了个 淘口令 让我用咸鱼打开

我复制后打开咸鱼提示淘口令 点击确认,然后填写收获地址付款后 在咸鱼的订单里面没有找到?

如果是假的,为什么咸鱼能识别 能正常打开

首先确认一点,我上的是真咸鱼,他发过来的淘口令 我打开后能咸鱼提示识别淘口令
然后我点击确认后是一个产品页面 然后购买

这是淘口令 现在显示失败了:
¥jLFM1x086Lm¥
这个口令现在能打开,是另外一个内容,陪玩,点击我想要,直接就弹出登录淘宝和支付宝页面
都说了 他发淘口令给我 我复制后打开咸鱼 咸鱼能识别 提示是 耳机产品 点击确认后
是一个耳机的产品页面 然后再点击 我想要 跳转到支付宝付款 我点击的使用支付宝APP付款

很多人都说我是付款页面 说我被骗了还不认
我给你们疏通下整个流程
对方发一个 淘口令给我 我复制后打开 咸鱼APP,咸鱼APP能正常识别到这个淘口令 提示的是耳机产品
当我点击确认后 打开的是一个耳机产品的详情页面
然后我点击右下角的我想要 跳转到付款页面 付款页面 有使用支付宝APP付款 或继续使用支付宝网页付款
我用的APP付款

我也是混网络十年的人了
第一,如果骗子给我发链接,我肯定会有防骗意识 会去核对域名等等
第二,对方发的是淘口令,淘口令是什么概念 也就是只有 淘宝 咸鱼 等 阿里系产品专用的
第三,就算对方发的是假的淘口令,然后咸鱼却能正常识别提示我要买的那个产品
第四,正常识别就算了,当我点击确认后打开的确实是一个跟咸鱼产品详情一模一样的页面(注意是在咸鱼内 而非跳转到别的浏览器之类的)

正应为一切的交易 都是在咸鱼内完成的,所以我就想着是安全的才导致被骗
我已经在黑猫投诉上投诉咸鱼了,等待进一步的处理
我觉得这属于咸鱼产品的漏洞
为什么会识别骗子的假的 淘口令 ?

以下为漏洞的复原
¥jLFM1x086Lm¥淘口令解析结果:
淘口令链接https://login.taobao.com/member/login.jhtml?redirectURL=https://suo.im/6bvt*lW&un=382bc58ace73c8f855673e655f78e05b&share_crt_v=1&spm=a2159r.13376465.0.0&sp_tk=77+ld3VCRzFFV2xNQXHvv6U=&ut_sk=1.utdid_12574478_1593797476511.TaoPassword-Outside.windvane
淘口令标题:陪玩#可夜
淘口令剩余时间:28天0小时3分9秒

然后先把短连接打开,发现会自动跳转https://suo.im/6bvt*lW,解析后的原链接:https://zhuanzhuan-58.com/xy/?i=583682346360333186r.shtml&liequSourceFrom=045767243067*474117u&ClickID=616
后面参数先不要管,打开,这个网址贼骚,检测到你电脑访问就跳转咸鱼,手机访问正常(现在手机也打不开了,全部跳转咸鱼,主站跳转百度,骗子日常操作)

至于跳转后面的参数百度搜索TaoPassword-Outside.windvane,会发现好多类似熟悉参数的淘宝客链接或者聚划算链接之类,这一堆参数估计是为可以生成淘口令用的(淘口令生成有严格参数限制的),没玩过淘口令就不解析了:

事情总结:这事应该淘宝背锅,傻吊,竟然不搞白名单,咸鱼兼容淘宝口令的方式通过网页版打开淘宝链接的,而且是自动登录的,所以假如一个假的淘口令,当你复制到咸鱼后,他会自动登录你的淘宝账号,然后跳转到https://suo.im/6bvt*lW

所以故事是这样的:
正常路径:
用户复制淘口令到咸鱼,咸鱼会以网页形式打开链接,并自动登录(大家可以复制一个淘宝口令试一下),不用登陆可以下单购买,付款只能支付宝付款(没有网页付款)
被骗路径:
骗子先发布淘口令(正规的可以被咸鱼淘宝识别的淘口令),用户复制淘口令,咸鱼默认以网页形式登录淘宝,然后网址的redirectURL自动跳转到https://suo.im/6bvt*lW,接下来就就是在咸鱼app内部网页打开https://suo.im/6bvtl*W,这是一个高仿的咸鱼界面,和真的一模一样,让人误以为在咸鱼app里,实际是咸鱼内部打开的网页,剩下不解释了,都是常规骗人套路,只能说想到这个方法的人牛逼啊!!!!!!!

ps:后续,和支付宝客服反馈,踢给淘宝,和淘宝客服反馈,踢给咸鱼,然后咸鱼反馈了,给了结论,确实存在这个漏洞,但是我们就是不改,你要被骗了就去报警,我们只负责有订单号的!

复制假淘口令试了下,从打开闲鱼识别到淘口令到支付,一趟操作下来行云流水。
部分页面有一点点假,细心的话应该会怀疑下,特别是支付时的那个订单商品名其实挺显眼的。
不过大部分普通用户应该注意不到这些,利用了OAuth RedirectURL的漏洞,2017年的老漏洞了,可能一直没有被人引起重视。没想到这种错误阿里也会犯。闲鱼这锅一定要背了。


sicnature ---------------------------------------------------------------------
Your current IP address is: 3.237.178.126
Your IP address location: 美国弗吉尼亚阿什本
Your IP address country and region: 美国 美国
Your current browser is:
Your current system is:
Original content, please indicate the source:
同福客栈论坛 | 蟒蛇科普海南乡情论坛 | JiaYu Blog
sicnature ---------------------------------------------------------------------
Welcome to reprint. Please indicate the source https://www.myzhenai.com/post/3431.html

没有评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注