淘宝钓鱼网站 | wooyun-2012-05320| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-05320

漏洞标题：淘宝钓鱼网站

漏洞作者：忧容

提交时间：2012-03-17 11:33

修复时间：2012-03-19 11:34

公开时间：2012-03-19 11:34

漏洞类型：钓鱼欺诈信息

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-03-17：细节已通知厂商并且等待厂商处理中
2012-03-19：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

接到106575160706的一条短信，称‘根据消费记录，您可获赠5元话费，手机登陆http://m.taobao.com/p/2充值领取，仅1天，转发无效。’

详细说明：

钓鱼网站链接：
登陆http://m.taobao.com/p/2自动跳转到http://wap.taobao.com/channel/act/sale/zckj5.xhtml?ttid=b0zc37

漏洞证明：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//WAPFORUM//DTD XHTML Mobile 1.0//EN" "http://www.wapforum.org/DTD/xhtml-mobile10.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head> <meta content="text/html; charset=utf-8" http-equiv="Content-Type" /> <title>淘宝网 - 手机版</title> <meta content="m.taobao.com" name="author" /> <meta content="Copyright &copy;m.taobao.com 版权所有" name="copyright" /> <meta content="1 days" name="revisit-after" /> <link href="http://m.taobao.com/channel/act/sale/zckj5.xhtml#nocheck" rel="canonical" /> <meta content="" name="keywords" /> <meta content="" name="description" /> <meta content="width=device-width; initial-scale=1.4; minimum-scale=1.0; maximum-scale=2.0" name="viewport" /> <meta content="240" name="MobileOptimized" /> <link href="http://a.tbcdn.cn/mw/s/hi/tbtouch/images/touch-icon.png" rel="apple-touch-icon-precomposed" /> <style type="text/css">
body,div,p,h1,h2,h3,h4,em,span,a,td,form,input,select,textarea{margin:0;padding:0;font-size:12px;line-height:18px;font-style:normal;}h2,h3,h4,em,strong{font-weight:700;}a img{border:none;}body{color:#000;}a{color:#36c;text-decoration:none;}.login,.site-nav,.sect,.ft{padding:0 5px;}.login{height:19px;line-height:19px;background:#e5e5e5;}.site-nav{margin-top:5px;color:#999;text-align:center;}.site-nav .logo{margin:5px;}.ft{padding:4px 0;color:#999;text-align:center;background:#e5e5e5;}.ft span{color:#000;}.h,.oran{color:#f50;}.weak,.gray{color:#666;}.err,.red{color:#f00;}.suc,.green{color:#084;}.white{color:#fff;}.mar{color:#e26e23;}.blue{color:#004d80;}.tit{height:20px;line-height:20px;color:#464646;border-top:1px #fed585 solid;background:#fdf2dc;}.tit a{text-decoration:none;}.list{color:#999;}.list a{color:#36c;}.list .func{color:#36c;}.list .h{color:#f50;}.mix-list .pic{padding-right:5px;vertical-align:top;}.anch{margin-top:2px;text-align:center;}.txt{padding:2px 0;border:1px #d2d2d2 solid;}.btn{width:56px;height:20px;border:0;background:url(http://img02.taobaocdn.com/tps/i2/T1FrJqXdRuXXXXXXXX-56-20.png) #eee;}hr{margin:0;border:none;border-top:1px #e7e7e7 solid;}.search{margin:5px 0;text-align:center;}.search .txt{width:100px;margin-bottom:2px;}.nav{color:#999;}.extra{margin-top:2px;}.mix-list .text{width:138px;}.nav{border:1px #fed585 solid;border-width:1px 0;background-color:#fdf2dc;}.sect{margin-top:3px;}
.tit-pink-2,.tit-pink-2-sub{padding:0 5px;}
.tit-pink-2{height:23px;line-height:23px;padding-left:4px;color:#fff;background:#f6665d url(http://img01.taobaocdn.com/tps/i1/T15QxWXc0cXXXXXXXX-1-23.png) repeat-x;margin-top:3px;}
.tit-pink-2-sub{height:24px;line-height:24px;background-color:#fed1ce;}
.tit-pink-2-sub,.tit-pink-2-sub a{color:#000}
.btn-blue{background:#408CFF;color:#FFF;}
.blue-box{border:1px solid #3fb3ff;background:#e3f5fd;padding:3px;}
.oran-btn{color:#fff;background:#f90;}
</style> </head><body> <div class="main-wrap bd"> <div class="module hd"> <div class="login"> <div class="fx"><a href="http://login.m.taobao.com/login.htm?sid=a239dc2030440927&amp;ttid=b0zc37&amp;sprefer=syg907&amp;TPL_redirect_url=http%3A%2F%2Fwap.taobao.com%2Fweb_channel.htm%3Furl%3D%2Fact%2Fsale%2Fzckj5.xhtml%26ttid%3Db0zc37" name="anch-top">登录</a> <a href="http://u.m.taobao.com/reg/newUser.htm?sid=a239dc2030440927&amp;ttid=b0zc37&amp;sprefer=syg906">免费注册</a></div> </div> <div class="site-nav"> <a class="logo" href="http://m.taobao.com/?sid=a239dc2030440927&amp;ttid=b0zc37&amp;spm=41.165564.193985.1"><img alt="淘宝网-手机版" src="http://a.tbcdn.cn/mw/s/lo/logos/logo_v3.gif" /></a> <p><a href="http://m.taobao.com/my_taobao.htm?sid=a239dc2030440927&amp;ttid=b0zc37&amp;spm=41.165564.193985.2&amp;sprefer=syg903">我的淘宝</a> | <a href="http://wap.taobao.com/trade/bought_item_lists.htm?sid=a239dc2030440927&amp;ttid=b0zc37&amp;status_id=5&amp;spm=41.165564.193985.3&amp;sprefer=syjb01">查物流</a> | <a href="http://favorite.wap.taobao.com/favorite/my_collect_list.htm?sid=a239dc2030440927&amp;ttid=b0zc37&amp;spm=41.165564.193985.4&amp;sprefer=syg904">我的收藏</a></p> </div> </div> <div class="module sect list"> <a href="http://m.taobao.com/?sid=a239dc2030440927&amp;ttid=b0zc37">首页&gt;</a> <a href="http://zc.m.taobao.com/?sid=a239dc2030440927&amp;ttid=b0zc37">充值首页&gt;</a> <span class="h">活动专区</span> </div> <div class="module sect"> <img alt="" src="http://img03.taobaocdn.com/tps/i3/T1WxeDXn0oXXXXXXXX-200-45.png" /> </div> <div class="module sect tit"> <strong><span style="color: red ">短信充值，更快速！</span></strong> </div> <div class="module sect"> </div> <div class="module sect tit-scar"> <div class="fx"> </div> </div> <div class="module sect"> <div><b>活动时间： <br /></b><span style="color: red ">2012年3月16日</span><br /> <b>活动规则：</b><br /> 活动期间，用短信充值话费成功且面额（非交易金额）大于等于30元的用户，即可获赠<span style="color: red ">5元话费红包</span>，每个用户限一次机会。<span style="color: red ">收到本短信的用户才可参加本次活动，短信转发无效。</span><br /> <b>短信充值方法：</b><br />编辑短信&#34;cz金额&#34;（如:cz50, 目前支持30,50,100）发送到1069099988，回复系统确认短信即可完成充值；<br /> <b>奖品发放：</b><br />中奖红包只能用于手机淘宝充话费；<br />红包会在3月22日前打到您的支付宝账户里，有效期至4月2日。<br /><b>温馨提示：</b><br /><span style="color:blue">为了更快速地使用短信完成话费充值，建议亲们：</span> <br />1)充值的手机号和淘宝账号、支付宝账号绑定的手机号码一致； <br />2)支付宝余额大于等于充值面额或者您开通了快捷支付(卡通和信用卡均可)。 <br /><span style="color:red">*短信充值所付款的金额通过支付宝余额或快捷支付收取。</span></div> </div> <div class="module sect list"> <a href="http://zc.m.taobao.com/?sid=a239dc2030440927&amp;ttid=b0zc37&amp;spm=41.165564.193995.1">&gt;&gt;返回充值首页</a><br /><a href="http://m.taobao.com/?sid=a239dc2030440927&amp;ttid=b0zc37&amp;spm=41.165564.193995.2">&gt;&gt;返回淘宝首页</a> </div> <div class="module sect"> <img alt="" src="" /> </div> <div class="module sect"> <div>&lt;本活动最终解释权归手机淘宝所有&gt;<br /> 如有疑问，请咨询淘宝客服：0571-88158198。</div> </div> <!-- tms-tail-template --> <div class="ft"> <a href="http://m.taobao.com/my_taobao.htm?sid=a239dc2030440927&amp;ttid=b0zc37&amp;sprefer=syg805">我的淘宝</a> | <a href="http://rj.m.taobao.com/?sid=a239dc2030440927&amp;ttid=b0zc37&amp;sprefer=syana1">客户端</a> | <a href="http://m.taobao.com/?sid=a239dc2030440927&amp;ttid=b0zc37">首页</a><br /> <span>&copy; 2011</span> | <a href="http://m.taobao.com/web_channel.htm?sid=a239dc2030440927&amp;ttid=b0zc37&amp;sprefer=syg807&amp;url=%2Fact%2Fother%2Fjiaoyianquan.xhtml">安全</a><br /> <span>ICP：浙B2-20080224</span> </div> <!-- /tms-tail-template --> </div> </body></html>

修复方案：

自行处理

版权声明：转载请注明来源忧容@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2012-03-19 11:34

厂商回复：

谢谢对我们服务的关注，这是正常短信，请务惊慌

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-05320

漏洞标题：淘宝钓鱼网站

相关厂商：淘宝网

漏洞作者：忧容

提交时间：2012-03-17 11:33

修复时间：2012-03-19 11:34

公开时间：2012-03-19 11:34

漏洞类型：钓鱼欺诈信息

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源忧容@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-05320

漏洞标题：淘宝钓鱼网站

相关厂商：淘宝网

漏洞作者： 忧容

提交时间：2012-03-17 11:33

修复时间：2012-03-19 11:34

公开时间：2012-03-19 11:34

漏洞类型：钓鱼欺诈信息

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-05320"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 忧容@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：忧容

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源忧容@乌云