二维码安全之看我如何登录你的淘宝账号(2)
发布时间:2019-03-29 15:40 所属栏目:20 来源:算命縖子xia
导读:可是问题又来了 。 淘口令只能支持阿里的url链接转换。 于是我想到了url跳转漏洞 。 于是又去找对应的链接。 http://h5.m.taobao.com/scan/transit-sms.html?url=http://www.nmd5.com/taobao.php 找到了这个链接 。
可是问题又来了 。 淘口令只能支持阿里的url链接转换。 于是我想到了url跳转漏洞 。 于是又去找对应的链接。 http://h5.m.taobao.com/scan/transit-sms.html?url=http://www.nmd5.com/taobao.php 找到了这个链接 。 ¥7bRo0I6DBfb¥ 复制淘口令到淘宝 app 里面打开。 这样只提示了位于附近登录,这样就比刚刚那个好多了。 现在基本满足要求了 。 现在写个 php 来帮我检测对应lgToken只要他一点确认登录就能获取到他的登录权限。 通过url的值就可以直接登录淘宝号了。 所以,最后的攻击成本就是一个淘口令 ¥7bRo0I6DBfb¥ 只要他打开并点确认登录,我就能拿到他的账号权限。 【编辑推荐】
点赞 0 (编辑:ASP站长网) |
相关内容
网友评论
推荐文章
热点阅读