高级钓鱼攻击来了：针对拍拍的XSS攻击

昨晚我们团队捕获到一起高级钓鱼攻击，紧急响应后，对背后的团队技术运作能力表示欣赏：终于不是老套的、土得要死的方式。这次还真唤起我心中的那个魔鬼，有趣，这样才有趣...

等黑产(非其他团队)用这样的方式已经等了很久很久，虽然还不够高明，但已经有进步了!根据伟大的统计学，互联网上铺天盖地的攻击，能正巧被我们发现的概率不高，这次既然发现了，可以推出利用这一攻击手法估计早几个月已经在实施，而准备好这套计划，估计时间上会更久。

开始进入重点：

在拍拍上和卖家交流后，卖家发来这条消息：

亲，亲反映的售后服务问题，我们给亲退款58元作为优惠，亲填写下退款信息：http://mcs.paipai.com/RWsiZVpoe

亮点1

被诱骗访问上面这个链接后，会302跳转到：

http://shop1.paipai.com/cgi-bin/shopmsg/showshopmsg?shopId=2622893717&page=1&iPageSize=1&t=0.8497088223518993&g_tk=2019233269&g_ty=ls&PTAG=40012.5.9

这里面是一个存储型XSS，这个XSS不错在于，攻击者通过修改自己QQ昵称后，昵称被拍拍读取并没适当的过滤就展示出来了，导致存储型XSS。如下图：

上面这个链接的代码如下：

var msgContent = [false,false,1,false,'2351926008: ',' ','0000000000','2012-11-11','04:57:25','店主回复','00000','2012-11-11','04:59:25',''];

showLeaveMsg(msgContent, 1);

注意红色标注的位置。

亮点2

上面红色标注的位置，那个js链接是短网址，这个手法已经司空见惯了，短网址利于迷惑，同时内容短，对于一些数据提交限制长度的功能来说，这是一个好方法。

亮点3

打开这个短网址，跳转到了如下链接：

http://my.tuzihost.com/qq2.js

这个链接里会生成一个拍拍真的页面，同时至少执行了如下脚本：

document.writeln("");

这个脚本很邪恶，就是专门盗取Cookie的。今年315后，认识Cookie的同学已经很多了，拍拍的Cookie比较脆弱，被盗取就意味着身份权限被盗。

在qq2.js这个文件里，攻击者明显是做了足够的研究，包括提取关键Cookie字段，通过代码里的痕迹与风格，估计可以推出是谁写的:)

亮点4

qq2.js所在的my.tuzihost.com首页做了伪装，让人以为是一个正规的导航站。

亮点5

my.tuzihost.com存在列目录漏洞，通过这个我查看了攻击者写的其他代码，可以看出用心了……

通过周边的一些信息推断：

1，攻击者收集到的Cookie应该是存入了MySQL数据库;

2，应该有个后台能显示这些Cookie信息;

3，有邮件通知功能(也许还用作其他);

4，攻击者(或者说团队更合适)不善于隐藏，也许他们分工真的明确，写利用代码的人不一定参与了攻击，否则不太可能犯下一些明显的错误;

结束

我们已经第一时间将这个攻击反馈给腾讯安全中心，我发现他们已经修复了漏洞，效率真高。

这次攻击实际上还不高级，不过非常有效，钓鱼钓的不是密码，而是关键Cookie，足矣秒杀拍拍了。我曾经科普过《关于社交网络里的高级钓鱼攻击》，大家可以查看微信的历史消息，看看这篇文章。

这次攻击在黑产中运用值得引起业界的警惕，实际上过去几年，这样的攻击我遇见过几起，不过没证据表明是黑产在运用，基本都是：just for joke。

你，终于要来了?