勞動節(jié)期間，知道創(chuàng)宇安全研究團(tuán)隊捕獲到一起高級釣魚攻擊，緊急響應(yīng)后，將其攻擊細(xì)節(jié)在這里呈現(xiàn)給大家。經(jīng)知道創(chuàng)宇安全研究團(tuán)隊推測，該攻擊手法在幾個月前已經(jīng)在實(shí)施，而攻擊者為這套計劃做了精心的準(zhǔn)備。

在拍拍上和賣家交流后，賣家發(fā)來這條消息：

親，親反映的售后服務(wù)問題，我們給親退款58元作為優(yōu)惠，親填寫下退款信息：http://mcs.paipai.com/RWsiZVpoe

亮點(diǎn)1

被誘騙訪問上面這個鏈接后，會302跳轉(zhuǎn)到：

這里面是一個存儲型XSS，這個XSS不錯在于，攻擊者通過修改自己QQ昵稱后，昵稱被拍拍讀取并沒適當(dāng)?shù)倪^濾就展示出來了，導(dǎo)致存儲型XSS。如下圖：

上面這個鏈接的代碼如下：

亮點(diǎn)2

上面紅色標(biāo)注的位置，那個js鏈接是短網(wǎng)址，這個手法已經(jīng)司空見慣了，短網(wǎng)址利于迷惑，同時內(nèi)容短，對于一些數(shù)據(jù)提交限制長度的功能來說，這是一個好方法。

亮點(diǎn)3

打開這個短網(wǎng)址，跳轉(zhuǎn)到了如下鏈接：

http://my.tuzihost.com/qq2.js

這個鏈接里會生成一個拍拍真的頁面，同時至少執(zhí)行了如下腳本：

該腳本的作用是專門盜取Cookie。今年315后，認(rèn)識Cookie的同學(xué)已經(jīng)很多了，拍拍的Cookie比較脆弱，被盜取就意味著身份權(quán)限被盜。

在qq2.js這個文件里，攻擊者明顯是做了足夠的研究，包括提取關(guān)鍵Cookie字段。

亮點(diǎn)4

qq2.js所在的my.tuzihost.com首頁做了偽裝，讓人以為是一個正規(guī)的導(dǎo)航站。

亮點(diǎn)5

my.tuzihost.com(黑產(chǎn)的服務(wù)器)存在列目錄漏洞以及一些弱口令、配置缺陷等漏洞，通過這些，知道創(chuàng)宇安全研究團(tuán)隊查看了攻擊者寫的其他代碼，可以看出運(yùn)作這起釣魚攻擊的黑產(chǎn)團(tuán)隊的用心了：

攻擊者收集到的Cookie有一部分存入了MySQL數(shù)據(jù)庫;

通過郵件方式自動將盜取到的Cookie發(fā)送到指定郵件賬戶;

攻擊者(或者說團(tuán)隊更合適)不善于隱藏，也許他們分工真的明確，寫利用代碼的人不一定參與了攻擊，否則不太可能犯下一些明顯的錯誤;

跟蹤發(fā)現(xiàn)，短短1個月，盜取了10萬的拍拍Cookie;

結(jié)束

知道創(chuàng)宇已經(jīng)第一時間將這個攻擊反饋給騰訊安全中心，目前該漏洞已被修復(fù)，相關(guān)賬戶安全問題也得到了及時解決。

這次攻擊實(shí)際上還不高級，不過非常有效，釣魚釣的不是密碼，而是關(guān)鍵Cookie，足矣秒殺拍拍了。實(shí)際上除了拍拍，很多大網(wǎng)站，如淘寶、京東、當(dāng)當(dāng)?shù)榷际艿竭@樣問題的影響。知道創(chuàng)宇曾經(jīng)科普過《關(guān)于社交網(wǎng)絡(luò)里的高級釣魚攻擊》，大家可以查看“網(wǎng)站安全中心”的公眾微信號(ID：wangzhan_anquan)的歷史消息，看看這篇文章。

這次攻擊在黑產(chǎn)中運(yùn)用值得引起業(yè)界的警惕，實(shí)際上過去幾年，這樣的攻擊出現(xiàn)過幾起，不過沒證據(jù)表明是黑產(chǎn)在運(yùn)用，基本都是：just for joke。