全球主机交流论坛

标题: 淘口令确实是属于漏洞！！！ [打印本页]

作者: 1204927751 时间: 2020-7-7 11:49
标题: 淘口令确实是属于漏洞！！！
本帖最后由 1204927751 于 2020-7-7 13:16 编辑

骗子会搭建一个跟淘宝..咸鱼一模一样钓鱼网站，然后在一些二手论坛发布商品交易帖子，说明走咸鱼交易，买家联系骗子，商量好价格等等，骗子会发给买家一个淘口令【假口令，利用漏洞生成的】，买家复制后打开咸鱼，重要的来了-->【闲鱼能解析出不属于自家产品的口令并跳转，没有任何提示】，跳转到一个跟咸鱼一模一样的钓鱼商品页面，然后付款，结果你们懂的......

作者: h20 时间: 2020-7-7 11:50
提示: 作者被禁止或删除内容自动屏蔽

作者: inkedus 时间: 2020-7-7 11:50
学会了，这就实战一下

作者: cnskis 时间: 2020-7-7 11:53
阿里没有做好白名单，用户没有注意付款确认，还有用户为什么非要私下交流呢，一再强调不要私下交易，发第三方联系方式的时候平台还有提醒。双方都有问题

作者: hanada 时间: 2020-7-7 11:54

h20 发表于 2020-7-7 11:50
然后呢？自动帮你付款了还是怎么的？付款不看说明的吗？

如果在浏览器中招了是不是也要找浏览器制作商说没 ...

浏览器还有链接能看到，咸鱼可是连链接都看不到的，还有就是因为是在咸鱼app内部界面也和咸鱼一样，戒备心就几乎没有了。至于支付宝说明，那里是唯一的破绽了，10个能骗3个就已经很离谱了。反正这个bug不修，后续这个骗术肯定会被大规模使用。

作者: 1204927751 时间: 2020-7-7 12:00

h20 发表于 2020-7-7 11:50
然后呢？自动帮你付款了还是怎么的？付款不看说明的吗？

如果在浏览器中招了是不是也要找浏览器制作商说没 ...

发链接跟发口令能一样？

作者: qinghe187100 时间: 2020-7-7 12:00

都没上撕逼鱼买过东西吗？，买东西不看卖家信息和芝麻信用？不在撕逼鱼里聊天留下撕逼记录？不看看卖家的商品和评价？，最后还有付款都不看清楚，不用支付宝软件付款？

作者: cmse 时间: 2020-7-7 12:08
咸鱼app 内可以直接打开其他网址。明显安全问题。大家赶快应用。错了这个村就没这店。。

作者: f10 时间: 2020-7-7 12:09
app上跳来跳去的确不是用户都能识别清楚的，再有，电商app和浏览器app的重要性程度还是不一样的，服务商的责任也是不一样的，全球最大电商app和街边小店app的信用度也是不一样的，不能一概而论。这事儿还真不能把某鱼看成一个不知名的平台来对待。

作者: cherbim 时间: 2020-7-7 12:15
提示: 作者被禁止或删除内容自动屏蔽

作者: laogui 时间: 2020-7-7 12:19
有漏洞，导致用户损失，淘宝、咸鱼是不是有责任

用户是基于对它们的信任才使用的

作者: zzhf 时间: 2020-7-7 12:20
我觉得应该向X宝提起诉讼

作者: 柳逸寒 时间: 2020-7-7 12:20
那个假的淘口令怎么生成的？非闲鱼内部链接怎么生成的淘口令？

作者: qmsht 时间: 2020-7-7 12:26
淘口令有时效性，猜有接口动态创建。
淘口令解析逆向app。
淘客推广，短链接必不可少，浏览器不可能设置白名单。

作者: vagaa 时间: 2020-7-7 12:30
问题是你怎么创建其他网站页面淘口令
这个漏洞在哪里

作者: 偶尔说说昔日 时间: 2020-7-7 12:36
不明所以，不过淘宝也应该重视起来才对吧

作者: hanweizhe 时间: 2020-7-7 12:37
开局一张嘴

作者: cherbim 时间: 2020-7-7 12:38
提示: 作者被禁止或删除内容自动屏蔽

作者: 园丁 时间: 2020-7-7 12:45
平台漏洞，信任堪忧

作者: 1204927751 时间: 2020-7-7 13:17
已更新

作者: ubze 时间: 2020-7-7 13:18
等搞个诈骗新闻他就修了

欢迎光临全球主机交流论坛 (https://loc.mjj8.eu.org/)