知道安全团队(KnownSec Team)于今日监测到一个以免费赠送建国60周年明信片为名的钓鱼网站。用户一旦按照该网站所提供的方式发送短信就会被扣除2元信息费。
钓鱼网站链接:
http://liushizhounian.qqxuexiao.com/
http://china60.wauee.com/index.html
该网站在百度搜索“国庆 明信片”的位置比较靠前:
钓鱼网站界面:
查看源文件,可以看到以下代码:
var blackworkds = [’贱’,'骚’,'猪’,'操’,'逼’,'淫’,'煞笔’,'畜牲’,'你妹’,'你妈’,'你爷’,'你爸’, ‘老爷’,'变态’,'狗日’,'狂草’,'草你’, ‘王八’, ‘去死’,'垃圾’,'杂种’];
function isBlackword(ast){
var i = 0;
for(i=0; i<blackworkds.length;i++){
bw = blackworkds[i];
if(ast.indexOf(bw)>-1){
return false;
}
}
return true;
}
钓鱼网站的作者添加了一个黑名单,一旦用户提交的姓名里包含这些字就返回错误信息。
if(!isCHName(name)||!isBlackword(name)){
alert(’为确保您的明信片能正确寄出,请输入您的真实姓名!’);
return false;
}
通过正则表达式判断手机号码:
function isphone(phone){
var pr = /^1[3|5|8]([0-9]{1})([0-9]{8})$/;
return pr.test(phone)
}
if(!isphone(phone)){
alert(’为确保您的明信片能正确寄出,请填写您的真实手机号码!’);
return false;
}
通过对以上代码的分析,我们可以构造一些虚假信息来测试,只要不包含黑名单里的字,且手机号符合格式(13、15、18开头的11位数字),就可以正常提交。
点击“我已发送”,弹出对话框:
通过源码分析可知:
function showmsg() {
alert(”您确定已经发送短信了吗?\n编辑短信 “+msg+” 发送到 “+ln+” 即可寄出您的有奖明信片!”);
}
<button onclick=”javascript:showmsg(’${msg}’,'${ln}’);” name=”Submit”>我已发送</button>
所以,无论是否发送手机短信,点击“我已发送”都会弹出这个对话框。而且,如果真的发送短信的话,手机会被扣除2元的信息费。
另外,这个钓鱼网站的作者犯了一个很低级的错误,他仅仅要求输入手机号和姓名,但是邮寄明信片需要的是邮编、地址和收件人姓名,仅此一点足以说明这个明信片是无法寄出的。
建国60周年纪念明信片和天安门邮局的纪念邮戳大家都想要,但是切勿相信类似的骗局,否则,不仅仅泄露个人信息,还可能导致财产损失。
我们很乐意他人使用我们的工作成果,如果使用我们数据的请通知我们一下,我们将十分感谢。
如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们:
邮箱:sec@knownsec.com或sec@scanw.com
联系电话:13552251891。
知道创宇:专业的WEB安全公司 www.knownsec.com
Popularity: 9% [?]
