老哥们帮忙看看这个钓鱼网站

shangji666

【闲鱼】https://m.tb.cn/h.53rBqo9?tk=YSHTW2pn5nB CZ3457 「淘口令#快来捡漏【验货宝…】」
这个链接在闲鱼上打开后直接跳转到支付宝，点击付款后的流程和闲鱼一样。有没有老哥看看这是怎么实现的？
另外这种网站老哥们看看是不是上点强度让它404一下？
上面的高仿站域名yhdutu.top/h5.2.taobao/index.php?te=1&ClickID=166 如果不按照这个链接进去就返回无响应而且block ip

cherbim

这TM的阿里系内部白名单问题，
原理很简单： 比如你可以经常可以在咸鱼上看到淘宝广告，你打开广告链接，会用咸鱼内置浏览器打开淘宝商品链接（此时你的设备没安装淘宝也可以打开的），并调用支付宝正常付款，理论上来说应该只允许淘宝的域名打开，也就是白名单只有淘宝的域名，
那么问题来了，某些不法分子利用白名单漏洞，让咸鱼可以打开自己的网站，然后再1:1像素级模仿咸鱼的商品链接，就会有个倒霉蛋，花了钱连订单都找不到，然后哭哭戚戚的去找客服，客服还不理他（论坛里就有一位）
上次那个倒霉蛋是在咸鱼内置浏览器被骗的，这个是在支付宝内置浏览器被骗的

一般这种一抓一个准，他肯定用了淘宝某项业务，上一个好像一个月就抓到骗子了
https://52.ht/thread-720115-1-1.html
yhdutu.top/h5.2.taobao/index.php?te=1&ClickID=166

御坂

cherbim 发表于 2023-11-16 23:59
这TM的阿里系内部白名单问题，
原理很简单： 比如你可以经常可以在咸鱼上看到淘宝广告，你打开广告链接，会 ...

阿里的白名单不会是包含“taobao.com”即可吧
emmmmm

Slime

之前还有直接让买家确认收货的漏洞
https://zhuanlan.zhihu.com/p/625230704

kikuri

害怕,这么雷