V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
haozi1986
V2EX  ›  分享发现

登录某宝的时候我还以为我遇上了盗号木马

  •  
  •   haozi1986 · 2020-12-12 10:43:53 +08:00 · 6201 次点击
    这是一个创建于 1202 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一直以来登录某宝的时候都是用的密码自动输入,今天缓了一下,突然发现登录页面不太对劲,登录的位置长这个样子:

    img1

    隐约发现下面还有一层东西,还有一个登录按钮,当时第一反应是,莫不是我遇上了盗号木马?这玩意创建了一个伪造的登录表格让我输入账号密码?

    登录很快就完成了,根本没来得及让我截图。

    于是我又退出登录,反复刷新了好几次页面,又遇见了。

    这木马还挺智能啊,知道反侦察~

    为了确保不是浏览器被注入了,我又打开了虚拟机,用里面的浏览器反复刷新这个页面,又复现了。

    刚刚已经登录成功了,那我的账号信息岂不是已经泄露了?

    然而,当我分析页面代码的时候,发现了这个,登录框后面是这个东西:

    img2

    ……

    某宝的美工你是认真的吗?……

    完整的图片地址是这样:

    https://img.alicdn.com/tfs/TB1A9Ek38r0gK0jSZFnXXbRRXXa-2500-600.jpg

    真相?

    把这图传到图床以防消失:

    真相?


    又:

    突然又多了一个想法,要是一个木马先伪造登录框,获得密码之后立刻销毁证据,又用这种图片把内容替换掉,伪装成“啊,这只是一个失误”,似乎也没办法证伪吧?

    ……

    我的被迫害妄想症又一次加重了……😅

    另外真是无力吐槽,一直给我推荐女装,我买的哪样东西让某宝产生了错觉我需要女装?

    44 条回复    2020-12-12 21:08:58 +08:00
    chinvo
        1
    chinvo  
       2020-12-12 11:08:20 +08:00 via iPhone
    对于你后面那个疑虑,有个求证的方法:

    先检查本地信任 CA,这个 CDN 也上 HTTPS,即使是本机有木马,要劫持也得插证书

    另外还可以查看域名的 HSTS 状态,看看淘宝有没有这 CDN 域名设置 HSTS,如果有,那么在本机 CA 无异常的情况下就足以保障这个链接的安全性了。如果没有,那么木马还是有可能在特定时间插入可信证书然后完成攻击后删掉的。
    ByZHkc3
        2
    ByZHkc3  
       2020-12-12 11:13:44 +08:00   ❤️ 1
    p0 杰作,这是开发用图给弄到线上了吧
    wdy3334
        3
    wdy3334  
       2020-12-12 11:15:24 +08:00 via iPhone
    @chinvo 后面的疑虑,我还以为是女装的疑虑,哈哈哈
    chinvo
        4
    chinvo  
       2020-12-12 11:20:55 +08:00 via iPhone
    突然想到还有一种攻击方式是页面加载完之后向 webview 注入脚本,这种攻击方式要排查就比较麻烦了
    Rekkles
        5
    Rekkles  
       2020-12-12 11:25:48 +08:00
    花钱找外包
    haozi1986
        6
    haozi1986  
    OP
       2020-12-12 11:41:15 +08:00
    @chinvo #4

    如果是真的,等到发现并开始排查的时候已经被盗了……😅
    haozi1986
        7
    haozi1986  
    OP
       2020-12-12 11:43:30 +08:00
    @Rekkles #5

    这种质量,外包收费多少?

    上次听说某宝在用 AI 自动创建内容图片,但这张图我感觉应该是人工创建的
    ihipop
        8
    ihipop  
       2020-12-12 11:43:33 +08:00 via Android
    文思海辉就是做外包的
    ByZHkc3
        9
    ByZHkc3  
       2020-12-12 11:46:33 +08:00
    @haozi1986 这是外包留图,不知道怎么过的项目测试
    haozi1986
        10
    haozi1986  
    OP
       2020-12-12 11:52:12 +08:00
    @ihipop #8

    刚刚搜索了一下,的确,之前还不知道这个的存在
    haozi1986
        11
    haozi1986  
    OP
       2020-12-12 11:53:58 +08:00
    @ByZHkc3 #9

    也许是双 12 图太多没一一检查?

    很无语的是,我这边在登录页面刷新个两三次这图就会冒出来
    yuzo555
        12
    yuzo555  
       2020-12-12 11:54:42 +08:00
    发个和主题无关的事情,楼主用的图床,i.niupic.com ,被湖南电信和湖南移动解析到本地地址 127.0.0.1 了,全国其它地址都是正常的,不知道啥原因,感觉是 DNS 服务器出问题了
    yuzo555
        13
    yuzo555  
       2020-12-12 11:57:28 +08:00
    楼主这个问题我也复现了,哈哈
    haozi1986
        14
    haozi1986  
    OP
       2020-12-12 12:02:22 +08:00
    @yuzo555 #13

    这么说起来,某宝正在跟全国人民推广女装?😏
    lc1450
        15
    lc1450  
       2020-12-12 13:33:24 +08:00
    哈哈, 我试了下刷新也能看到这个背景图
    npm
        16
    npm  
       2020-12-12 14:43:09 +08:00
    刚刚好奇的看了下,确确实实出现了,和楼主看到的一样
    akxjune
        17
    akxjune  
       2020-12-12 14:47:03 +08:00
    +1,和楼主看到的一样
    lower
        18
    lower  
       2020-12-12 14:55:14 +08:00
    刷了一下,同样也出现了这个图,,楼主可以基本放心自己系统是安全的了……
    jingniao
        19
    jingniao  
       2020-12-12 14:55:16 +08:00
    这种问题多久能发现,并修改?
    还是说等 12.12 过了,更换图之后内部发现问题的人也不提,默默更换图,当问题不存在?
    liukangxu
        20
    liukangxu  
       2020-12-12 14:56:26 +08:00
    +1 复现了
    ByZHkc3
        21
    ByZHkc3  
       2020-12-12 14:56:54 +08:00
    @jingniao 估计双十二不给做更新,非功能性问题暂时就没更新吧
    akring
        22
    akring  
       2020-12-12 15:27:25 +08:00
    文思海辉的外包质量。。。就一言难尽吧。今年看来有人要 3.25 了
    haozi1986
        23
    haozi1986  
    OP
       2020-12-12 15:38:01 +08:00
    @lower #18

    发现真实原因之前,我已经把密码改了,哈哈
    CloudnuY
        24
    CloudnuY  
       2020-12-12 15:52:19 +08:00
    点这个图进去的活动页 title 也没有,全页宋体……
    iTakeo
        25
    iTakeo  
       2020-12-12 15:56:56 +08:00
    https://img.alicdn.com/tfs/TB1A9Ek38r0gK0jSZFnXXbRRXXa-2500-600.jpg

    大家都是这样的,背景图估计搞错了
    justfun
        26
    justfun  
       2020-12-12 16:05:56 +08:00   ❤️ 1
    ![1607760214198.jpg]( https://i.loli.net/2020/12/12/LYdy6tsRbpxhC5G.jpg)
    ![1607760160710.jpg]( https://i.loli.net/2020/12/12/U6MkGEo85sNLYe1.jpg)

    复现成功 刚进去就是这个页面。背景图上自带登录框 和登录表单重叠了。天才美工
    justfun
        27
    justfun  
       2020-12-12 16:10:23 +08:00
    刷新了多, 一共就俩背景图。一个下载手机淘宝的、一个就是这个女装热卖。不是说千人前面吗,这么大个广告位不利用起来
    drydiy
        28
    drydiy  
       2020-12-12 16:14:49 +08:00
    复现了。。
    drydiy
        29
    drydiy  
       2020-12-12 16:17:18 +08:00
    @akring #22 这个可不是外包的锅。首先外包实力肯定也没正职强。这都不是重点。重点是这图怎么上生产的。
    MrCard
        30
    MrCard  
       2020-12-12 16:20:35 +08:00
    刚去淘宝也看到了,难道活动页面是文思海辉做的?没必要吧,淘宝还缺美工和前端吗
    xiangyuecn
        31
    xiangyuecn  
       2020-12-12 16:28:59 +08:00
    从 div 定位精度来看,这个切图仔的工龄至少 1 年以上😂
    shijingshijing
        32
    shijingshijing  
       2020-12-12 16:34:37 +08:00
    如果不带任何跳转的原始 login 页面,是没有这个图的:

    https://login.taobao.com/member/login.jhtml

    <img src="" />
    summerwar
        33
    summerwar  
       2020-12-12 16:38:29 +08:00
    @shijingshijing 刷新下,手机和女装随机出现,女装页面是有的
    akring
        34
    akring  
       2020-12-12 16:39:55 +08:00
    @drydiy 所以才说有人要 3.25 了嘛
    icyalala
        35
    icyalala  
       2020-12-12 16:41:32 +08:00
    后厂村的文思海辉。。。
    kuzhan
        36
    kuzhan  
       2020-12-12 16:54:28 +08:00
    复现 +1 找个问题有点意思
    yuhuike
        37
    yuhuike  
       2020-12-12 17:31:13 +08:00 via Android
    有意思,哈哈
    CrazyBoyFeng
        38
    CrazyBoyFeng  
       2020-12-12 17:37:30 +08:00
    好像已经改回来了,现在背景图是这个:
    https://img.alicdn.com/tfs/TB1Zyw5tGNj0u4jSZFyXXXgMVXa-2500-600.png
    tangzh55
        39
    tangzh55  
       2020-12-12 17:37:38 +08:00
    haozi1986
        40
    haozi1986  
    OP
       2020-12-12 17:45:24 +08:00
    @CrazyBoyFeng #38

    @tangzh55 #39

    是的,已经改掉了,这么长时间过后终于被淘宝的人发现了😅
    tanranran
        41
    tanranran  
       2020-12-12 18:15:23 +08:00
    @haozi1986 #40 可能是淘宝的人看到了你这个帖子
    axxahut233
        42
    axxahut233  
       2020-12-12 18:19:16 +08:00
    哈哈哈,改掉了
    CallMeReznov
        43
    CallMeReznov  
       2020-12-12 18:29:29 +08:00
    面向论坛的 DEBUG
    fline
        44
    fline  
       2020-12-12 21:08:58 +08:00
    应该发在全球工单系统分类
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   4053 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 10:18 · PVG 18:18 · LAX 03:18 · JFK 06:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.