V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
faceair
V2EX  ›  全球工单系统

微信虚假中奖网页是这么防止被封的

  •  1
     
  •   faceair · 2017-09-13 10:14:31 +08:00 · 7504 次点击
    这是一个创建于 2627 天前的主题,其中的信息可能已经有所发展或是发生改变。
    刚看到有人分享了这么一个假网页





    这个网页我之前举报过几次了,但还是没有被完全封掉,就打开电脑追了一下。

    打开的链接是 http://www.qdct.cn/%5ckindeditor/attached/file/20170912/20170912002821_8937.html 这个地址, 内容里面包含一个 <script src="//wx.xaguojia.com.cn/jump.php"></script> 的标签。

    wx.xaguojia.com.cn/jump.php 网页会生成一个页面地址然后将用户重定向过去,目前的落地页是
    http://sfxy.hbpu.edu.cn/UploadFiles/file/20170911/20170911122734083408.html

    sfxy.hbpu.edu.cn 是一个学院的二级域名,这个网页里也包含一个 <script src="//wx.xaguojia.com.cn/display.php"></script> 标签。这个 display.php 会向 wx.xaguojia.com.cn/content.php 请求内容并覆盖当前页面 html。

    这个页面目前看只是一个小游戏在搞病毒营销,怀疑后续当访问量更大了以后会打开一个什么开关就开始骗钱,最后的页面的 js 模块中有微信支付的一些代码。
    所以当用户打开网页时已经经过了几次跳转,这个页面被举报以后后端可以马上换一个新的,所以微信提供的举报按钮用途不大。
    不知道微信的同事是否已经注意到了这个问题,希望能有些办法比如举报的时候能自动将用户聊天记录中开始点击的 url 也能一并附过去应该会更好封一些。
    9 条回复    2017-09-14 11:13:18 +08:00
    newworld
        1
    newworld  
       2017-09-13 10:32:33 +08:00
    这些学校的网站程序漏洞百出 被黑了 挂个黑链 当个跳板都是小 case....管不过来的
    opengps
        2
    opengps  
       2017-09-13 12:43:59 +08:00
    我发现很多这种假红包,都是跳转+跳转+跳转+跳转+跳转+跳转+跳转 这样多级跳跃才正式显示的假红包页面
    kmdgeek
        3
    kmdgeek  
       2017-09-13 12:47:46 +08:00
    很早开始各种营销 /诈骗网页就是多重跳转各种防微信封的了,感觉微信举报要带上完整的跳转链来分析才行。另外我多数举报都是石沉大海的……
    rootx
        4
    rootx  
       2017-09-13 16:53:20 +08:00 via iPhone
    已经被封了。
    phy25
        5
    phy25  
       2017-09-13 20:29:53 +08:00 via Android
    这个红包界面好熟悉……感觉他们已经把这个做成微信营销产品在卖了,有得赚的点是最后会提示分享朋友圈,分享的就是微商了。而且用跳转的方式真的封不完,我猜微信举报的机制还是有问题,没跟踪到用户分享的地址,而且这个本质上应该封服务号的 JSAPI,估计也没封(有个举报一个多月了,现在页面还没封,服务商自己关了)。

    网页分享不带标题字段,效果还有点红包的意思。
    AlwaysBehave
        6
    AlwaysBehave  
       2017-09-13 20:39:10 +08:00
    @kmdgeek 问题是通常而言跳转域名如果是新的都是会有一个非微信官方的提示的(即使是跳转)
    他们是怎么弄到这么多过了微信认证的域名的……
    我之前验证通过验证的域名现在提示又被加回来了,很气
    kmdgeek
        7
    kmdgeek  
       2017-09-14 01:02:47 +08:00 via Android
    @AlwaysBehave 非微信官方的提示只出现在非主流后缀域名中,我自己新注册的 com 域名一点问题都没有,me 域名就弹出提示了。
    tvallday
        8
    tvallday  
       2017-09-14 09:18:49 +08:00 via Android
    微信内含图片链接这种机制本来就有问题,自己也没有从技术上封死这些漏洞,只靠用户举报。其他的更注重安全性的社交 APP 就没有这种问题。
    bubue
        9
    bubue  
       2017-09-14 11:13:18 +08:00
    但是分享出去的链接不还是真实的地址吗
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2877 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 11:21 · PVG 19:21 · LAX 03:21 · JFK 06:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.