当前位置:聪少自媒体网 > 今日头条 > 正文

突现利用今日头条 xss 漏洞盗号的网站

2020-10-05 今日头条 聪少自媒体

先上网址:

https://www.toutiao.com/ugc/share/wap/comment/6712628695149936648/

我的几个好友 QQ 被盗后发来上述链接(有的是 sinaurl 短链接)。伪装为 QQ 空间登录。

该人头条号之前仅发过一条有关区块链的内容。

目前发现两个域名:

原版( puxt.cn ,在今晚八点之前)会检测 UA,仅 QQ X5 能访问,其余跳转 qq.com 。

现在( tsih.cn )除了不检测 UA,基本相同。

脚本混淆得很好,伪装成 zepto。

抓包发现,会提交输入的用户名密码。提交后目前发现两个版本:

(图片为下载源码后本地复现)

请大家注意防范。

聪少爱学堂聪少
聪少爱学堂创始人,梅州市鹏鑫网络科技有限公司CEO,09年开始踏入互联网,10年互联网行业经验,资深自媒体人,自媒体优秀导师,咪挺微商团对营销引流顾问,业务包含:精准引流技术/代引流精准粉,专业小红书,知乎,微博代运营。
  • 38988文章总数
  • 1491135访问次数
  • 建站天数
  • 合作伙伴