勞動節期間，知道創宇安全研究團隊捕獲到一起高級釣魚攻擊，緊急響應后，將其攻擊細節在這里呈現給大家。經知道創宇安全研究團隊推測，該攻擊手法在幾個月前已經在實施，而攻擊者為這套計劃做了精心的準備。

在拍拍上和賣家交流后，賣家發來這條消息：

親，親反映的售后服務問題，我們給親退款58元作為優惠，親填寫下退款信息：http://mcs.paipai.com/RWsiZVpoe

亮點1

被誘騙訪問上面這個鏈接后，會302跳轉到：

這里面是一個存儲型XSS，這個XSS不錯在于，攻擊者通過修改自己QQ昵稱后，昵稱被拍拍讀取并沒適當的過濾就展示出來了，導致存儲型XSS。如下圖：

上面這個鏈接的代碼如下：

亮點2

上面紅色標注的位置，那個js鏈接是短網址，這個手法已經司空見慣了，短網址利于迷惑，同時內容短，對于一些數據提交限制長度的功能來說，這是一個好方法。

亮點3

打開這個短網址，跳轉到了如下鏈接：

http://my.tuzihost.com/qq2.js

這個鏈接里會生成一個拍拍真的頁面，同時至少執行了如下腳本：

該腳本的作用是專門盜取Cookie。今年315后，認識Cookie的同學已經很多了，拍拍的Cookie比較脆弱，被盜取就意味著身份權限被盜。

在qq2.js這個文件里，攻擊者明顯是做了足夠的研究，包括提取關鍵Cookie字段。

亮點4

qq2.js所在的my.tuzihost.com首頁做了偽裝，讓人以為是一個正規的導航站。

亮點5

my.tuzihost.com(黑產的服務器)存在列目錄漏洞以及一些弱口令、配置缺陷等漏洞，通過這些，知道創宇安全研究團隊查看了攻擊者寫的其他代碼，可以看出運作這起釣魚攻擊的黑產團隊的用心了：

攻擊者收集到的Cookie有一部分存入了MySQL數據庫;

通過郵件方式自動將盜取到的Cookie發送到指定郵件賬戶;

攻擊者(或者說團隊更合適)不善于隱藏，也許他們分工真的明確，寫利用代碼的人不一定參與了攻擊，否則不太可能犯下一些明顯的錯誤;

跟蹤發現，短短1個月，盜取了10萬的拍拍Cookie;

結束

知道創宇已經第一時間將這個攻擊反饋給騰訊安全中心，目前該漏洞已被修復，相關賬戶安全問題也得到了及時解決。

這次攻擊實際上還不高級，不過非常有效，釣魚釣的不是密碼，而是關鍵Cookie，足矣秒殺拍拍了。實際上除了拍拍，很多大網站，如淘寶、京東、當當等都受到這樣問題的影響。知道創宇曾經科普過《關于社交網絡里的高級釣魚攻擊》，大家可以查看“網站安全中心”的公眾微信號(ID：wangzhan_anquan)的歷史消息，看看這篇文章。

這次攻擊在黑產中運用值得引起業界的警惕，實際上過去幾年，這樣的攻擊出現過幾起，不過沒證據表明是黑產在運用，基本都是：just for joke。