首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
V2EX  ›  全球工单系统

国内所谓的安全套壳浏览器还是不如 Chrome

  •  1
     
  •   nolo · 30 天前 · 4638 次点击
    在电脑上正好收到一个好友的钓鱼链接,用 chrome 打开。没有所谓的云安全,还是被 Chrome 拦截。带着好奇的心态测试了手机上的 Chrome,也是被拦截。
    反之测试手机 QQ 内置浏览器。钓鱼网站完美绕过各种安全策略。

    附钓鱼链接(V 站不让传短链接,麻烦大家手动补全了,腾讯的短链接):5yuZZRV




    手机 Chrome 被拦截:
    40 回复  |  直到 2018-06-19 19:11:21 +08:00
        1
    dingyi9257   30 天前 via Android   ♥ 1
    谷歌大法好
        3
    gam2046   30 天前
    古老的 IE 11 也阻止了请求: https://i.loli.net/2018/06/18/5b2763c53c5b4.jpg

    所以人民网为啥会有这种低级的 XSS 漏洞呢
        4
    jininij   30 天前 via iPhone
    chrome 67.0.3396.87 + iOS 11.4 没有任何错误和警告。正常显示。
        5
    nolo   30 天前 via Android
    @jininij chrome 在 ios 上也是 safari 的内核
        6
    Vegetables   30 天前 via Android
    Android chrome 67.0.3396.87 拦截
        7
    zpf020610   30 天前 via Android
    腾讯啪啪打脸
        8
    Vegetables   30 天前 via Android
    顺带问下 MIUI 不能自己更新 webview ? 从 apkpure 下载的无法安装,开发者模式显示的还是 Android system webview 62
        9
    jimages   30 天前
    safari 拦截失败
        10
    jiujiuKA   30 天前 via Android
    安卓 chrome 拦截,ff 放行
        11
    serical   30 天前 via Android
    安卓 yandex 拦截
        12
    chinasunyingjian   30 天前 via Android   ♥ 1
    @Vegetables 装个框架 用 google play 可以更新
        13
    acsami   30 天前
    谷歌大法好
        14
    we2ex   30 天前 via Android   ♥ 1
    手机夸克浏览器放行→_→
        15
    willychester   30 天前
    Cent Browser 拦截成功
        16
    woodrat   30 天前
    客户端拦截和云拦截还是不太一样的, 有些 XSS 不好在服务端检测的,客户端检测不到可能是套壳的版本不够高。。
        17
    iyaozhen   30 天前 via Android
    可怕的是微信里面不拦截
        18
    LimboRunner   30 天前 via Android   ♥ 1
    国际版最新 MIUI 浏览器不拦截,小米垃圾
        19
    mrcn   30 天前 via Android
    WebView 64 拦截成功
        20
    iwtbauh   30 天前 via Android
    lineageos 14.1 自带浏览器(其实就是 webview )成功拦截,显示 net::ERR_BLOCKED_BY_XSS_AUDITOR
    chrome for amdroid 67.0 成功拦截
    Firefox for android 60.0.2 未拦截
        21
    lp10   30 天前
    Safari 12.0 最终跳转到了王者 x 耀的官网,奇怪……
        22
    alvin666   30 天前 via Android
    @Vegetables googleplay 更新,确实这是个漏洞,MIUI 官方没有更新的,play 上面更新的还可频繁
        23
    Vegetables   30 天前 via Android
    @alvin666 我去试了下微信自带的版本还是 57 呢...ㄟ( ▔, ▔ )ㄏ
        24
    touxigua   30 天前
    点进去之后怎样盗号啊 也有别人给我发这个。。。
        25
    vefawn1   30 天前 via Android
    安卓
    uc 浏览器(国际版) 成功放行。
    via 浏览器 点击链接后一片空白
        26
    wuhau   30 天前
    这是一个钓鱼页面。 最后将包 POST 到 http[:]//www[dot]vipaag[dot]cn/ save.php

    http[:]//www[.]vipaag[.]cn/admin/login[.]php

    view-source:http://www.vipaag[.]cn/admin/set[.]php?mod=site
        27
    zpxshl   30 天前 via Android
    @wuhau 这不是王者荣耀官网吗...是什么黑科技还能将包 post 到其他服务器...
        28
    Kazetachinu   30 天前 via iPhone
    @xmdhs 手机 QQ 浏览器拦截
        29
    zst   30 天前 via Android
    @zpxshl 只是自动跳转吧....你把 www 随便改一下都能看到 lnmp 安装的页面
        30
    zpxshl   30 天前 via Android
    @zst 那请问访问这网站有什么危害吗?
        31
    kuleyu   30 天前 via Android
    @xmdhs 我居然才发现人民网的网址是 people.com.cn ,而不是 people.com 或者 people.cn 。
    people.com 是一个外国网站,people.cn 会自动跳转到 people.com.cn 。
        32
    freewind   29 天前
    打开后是 http://pvp.qq.com/ ,这个也能钓鱼?
        33
    DOLLOR   29 天前
    该网页无法正常运作
    Opera detected unusual code on this page and blocked it to protect your personal information (for example, passwords, phone numbers, and credit cards).
        34
    bestkayle   29 天前
    @kuleyu #31 银行的地址都是 com.cn
        35
    okampfer   29 天前
    是不是因为你的 Chrome 打开了 Protect you and your device from dangerous sites 这个选项?
        36
    okampfer   29 天前
    Sorry, 刚测试过了,不打开那个选项依然可以拦截。
        37
    zpf124   29 天前
    已经让你们玩坏了,短链被腾讯封了
        38
    qcloud   29 天前 via iPhone
    腾讯已拦截
        39
    cncqw   29 天前
    qq 浏览器是什么情况

        40
    wuhau   29 天前
    @zpxshl http ://api61[.]oss-cn-beijing[.]aliyuncs[.]com/h5[.]js?v=0613
    var html = unescape("xxxxx"); 那一大段就是钓鱼页面源码。
    然后用 document.write(html)这种方式去替换网页内容,从而域名不变,而内容变。

    根据 UA 头去跳转,比如用判断是手机端 /微信 /QQ 浏览器就跳转到钓鱼页面,如果是电脑端直接跳官网上也防止被分析。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   实用小工具   ·   1652 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 19ms · UTC 16:10 · PVG 00:10 · LAX 09:10 · JFK 12:10
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1