V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
nolo
V2EX  ›  全球工单系统

国内所谓的安全套壳浏览器还是不如 Chrome

  •  1
     
  •   nolo · 2018-06-18 14:42:28 +08:00 · 8475 次点击
    这是一个创建于 2386 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在电脑上正好收到一个好友的钓鱼链接,用 chrome 打开。没有所谓的云安全,还是被 Chrome 拦截。带着好奇的心态测试了手机上的 Chrome,也是被拦截。
    反之测试手机 QQ 内置浏览器。钓鱼网站完美绕过各种安全策略。

    附钓鱼链接(V 站不让传短链接,麻烦大家手动补全了,腾讯的短链接):5yuZZRV




    手机 Chrome 被拦截:
    40 条回复    2018-06-19 19:11:21 +08:00
    dingyi9257
        1
    dingyi9257  
       2018-06-18 15:30:54 +08:00 via Android   ❤️ 1
    谷歌大法好
    gam2046
        3
    gam2046  
       2018-06-18 15:49:20 +08:00
    古老的 IE 11 也阻止了请求: https://i.loli.net/2018/06/18/5b2763c53c5b4.jpg

    所以人民网为啥会有这种低级的 XSS 漏洞呢
    jininij
        4
    jininij  
       2018-06-18 15:58:05 +08:00 via iPhone
    chrome 67.0.3396.87 + iOS 11.4 没有任何错误和警告。正常显示。
    nolo
        5
    nolo  
    OP
       2018-06-18 16:17:12 +08:00 via Android
    @jininij chrome 在 ios 上也是 safari 的内核
    Vegetables
        6
    Vegetables  
       2018-06-18 16:18:12 +08:00 via Android
    Android chrome 67.0.3396.87 拦截
    zpf020610
        7
    zpf020610  
       2018-06-18 16:19:00 +08:00 via Android
    腾讯啪啪打脸
    Vegetables
        8
    Vegetables  
       2018-06-18 16:21:15 +08:00 via Android
    顺带问下 MIUI 不能自己更新 webview ? 从 apkpure 下载的无法安装,开发者模式显示的还是 Android system webview 62
    jimages
        9
    jimages  
       2018-06-18 16:22:35 +08:00
    safari 拦截失败
    jiujiuKA
        10
    jiujiuKA  
       2018-06-18 16:25:22 +08:00 via Android
    安卓 chrome 拦截,ff 放行
    serical
        11
    serical  
       2018-06-18 16:30:26 +08:00 via Android
    安卓 yandex 拦截
    chinasunyingjian
        12
    chinasunyingjian  
       2018-06-18 16:33:19 +08:00 via Android   ❤️ 1
    @Vegetables 装个框架 用 google play 可以更新
    acsami
        13
    acsami  
       2018-06-18 16:44:06 +08:00
    谷歌大法好
    we2ex
        14
    we2ex  
       2018-06-18 18:18:10 +08:00 via Android   ❤️ 1
    手机夸克浏览器放行→_→
    willychester
        15
    willychester  
       2018-06-18 18:23:50 +08:00
    Cent Browser 拦截成功
    woodrat
        16
    woodrat  
       2018-06-18 18:46:36 +08:00
    客户端拦截和云拦截还是不太一样的, 有些 XSS 不好在服务端检测的,客户端检测不到可能是套壳的版本不够高。。
    iyaozhen
        17
    iyaozhen  
       2018-06-18 19:23:12 +08:00 via Android
    可怕的是微信里面不拦截
    LimboRunner
        18
    LimboRunner  
       2018-06-18 19:24:41 +08:00 via Android   ❤️ 1
    国际版最新 MIUI 浏览器不拦截,小米垃圾
    mrcn
        19
    mrcn  
       2018-06-18 19:38:06 +08:00 via Android
    WebView 64 拦截成功
    iwtbauh
        20
    iwtbauh  
       2018-06-18 19:38:13 +08:00 via Android
    lineageos 14.1 自带浏览器(其实就是 webview )成功拦截,显示 net::ERR_BLOCKED_BY_XSS_AUDITOR
    chrome for amdroid 67.0 成功拦截
    Firefox for android 60.0.2 未拦截
    lp10
        21
    lp10  
       2018-06-18 20:12:04 +08:00
    Safari 12.0 最终跳转到了王者 x 耀的官网,奇怪……
    alvin666
        22
    alvin666  
       2018-06-18 20:30:44 +08:00 via Android
    @Vegetables googleplay 更新,确实这是个漏洞,MIUI 官方没有更新的,play 上面更新的还可频繁
    Vegetables
        23
    Vegetables  
       2018-06-18 20:49:01 +08:00 via Android
    @alvin666 我去试了下微信自带的版本还是 57 呢...ㄟ( ▔, ▔ )ㄏ
    touxigua
        24
    touxigua  
       2018-06-18 20:53:27 +08:00
    点进去之后怎样盗号啊 也有别人给我发这个。。。
    vefawn1
        25
    vefawn1  
       2018-06-18 22:11:10 +08:00 via Android
    安卓
    uc 浏览器(国际版) 成功放行。
    via 浏览器 点击链接后一片空白
    wuhau
        26
    wuhau  
       2018-06-18 22:12:45 +08:00
    这是一个钓鱼页面。 最后将包 POST 到 http[:]//www[dot]vipaag[dot]cn/ save.php

    http[:]//www[.]vipaag[.]cn/admin/login[.]php

    view-source:http://www.vipaag[.]cn/admin/set[.]php?mod=site
    zpxshl
        27
    zpxshl  
       2018-06-18 23:19:39 +08:00 via Android
    @wuhau 这不是王者荣耀官网吗...是什么黑科技还能将包 post 到其他服务器...
    Kazetachinu
        28
    Kazetachinu  
       2018-06-18 23:26:46 +08:00 via iPhone
    @xmdhs 手机 QQ 浏览器拦截
    zst
        29
    zst  
       2018-06-18 23:28:21 +08:00 via Android
    @zpxshl 只是自动跳转吧....你把 www 随便改一下都能看到 lnmp 安装的页面
    zpxshl
        30
    zpxshl  
       2018-06-18 23:33:45 +08:00 via Android
    @zst 那请问访问这网站有什么危害吗?
    kuleyu
        31
    kuleyu  
       2018-06-18 23:49:15 +08:00 via Android
    @xmdhs 我居然才发现人民网的网址是 people.com.cn ,而不是 people.com 或者 people.cn
    people.com 是一个外国网站,people.cn 会自动跳转到 people.com.cn
    freewind
        32
    freewind  
       2018-06-19 08:51:31 +08:00
    打开后是 http://pvp.qq.com/ ,这个也能钓鱼?
    DOLLOR
        33
    DOLLOR  
       2018-06-19 08:53:54 +08:00
    该网页无法正常运作
    Opera detected unusual code on this page and blocked it to protect your personal information (for example, passwords, phone numbers, and credit cards).
    KgM4gLtF0shViDH3
        34
    KgM4gLtF0shViDH3  
       2018-06-19 09:16:33 +08:00
    @kuleyu #31 银行的地址都是 com.cn
    okampfer
        35
    okampfer  
       2018-06-19 09:18:10 +08:00
    是不是因为你的 Chrome 打开了 Protect you and your device from dangerous sites 这个选项?
    okampfer
        36
    okampfer  
       2018-06-19 09:18:45 +08:00
    Sorry, 刚测试过了,不打开那个选项依然可以拦截。
    zpf124
        37
    zpf124  
       2018-06-19 09:37:26 +08:00
    已经让你们玩坏了,短链被腾讯封了
    qcloud
        38
    qcloud  
       2018-06-19 12:58:30 +08:00 via iPhone
    腾讯已拦截
    cncqw
        39
    cncqw  
       2018-06-19 15:24:13 +08:00
    qq 浏览器是什么情况

    wuhau
        40
    wuhau  
       2018-06-19 19:11:21 +08:00
    @zpxshl http ://api61[.]oss-cn-beijing[.]aliyuncs[.]com/h5[.]js?v=0613
    var html = unescape("xxxxx"); 那一大段就是钓鱼页面源码。
    然后用 document.write(html)这种方式去替换网页内容,从而域名不变,而内容变。

    根据 UA 头去跳转,比如用判断是手机端 /微信 /QQ 浏览器就跳转到钓鱼页面,如果是电脑端直接跳官网上也防止被分析。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   935 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:43 · PVG 03:43 · LAX 11:43 · JFK 14:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.