有人知道 这个新闻中的 说的是哪个平台吗 ,以及使用的什么技术呢 ,为啥自己的平台能直接改 电商平台的数据,,( XSS 跨站脚本攻击、CSRF 跨站请求伪造)吗
https://www.oschina.net/news/394156
第一步是偷用户购物车信息。他在自己的 “券白领” 网站里藏了一个计算机程序,只要有人在他网站领券时登录过该线上购物平台,这个程序就会偷偷获取用户的购物平台登录信息。他再登录用户的购物平台账号,专门偷看购物车内容。就这样,该购物平台 76 万用户的 176 万组 cookie 信息,被李明君偷偷储存在了云服务器里。
第二步是根据偷来的购物车商品,用计算机程序生成一个假推广链接。因为购物车里的东西,用户购买的概率非常大,这就相当于把用户想买的东西,都变成了 “他推广的商品”。
第三步是模拟点击骗平台。他通过计算机程序自动点击这些假推广链接,制造 “用户是通过他的推广才想买这些东西” 的假象。
> 该线上购物平台安全运营专员在后台监测时,发现了一组诡异的数据:李明君及其关联账户的提现金额高达 2124 万元,但大量用户根本没有浏览推广页面的记录,却显示 “点击了推广链接”。
https://www.oschina.net/news/394156
第一步是偷用户购物车信息。他在自己的 “券白领” 网站里藏了一个计算机程序,只要有人在他网站领券时登录过该线上购物平台,这个程序就会偷偷获取用户的购物平台登录信息。他再登录用户的购物平台账号,专门偷看购物车内容。就这样,该购物平台 76 万用户的 176 万组 cookie 信息,被李明君偷偷储存在了云服务器里。
第二步是根据偷来的购物车商品,用计算机程序生成一个假推广链接。因为购物车里的东西,用户购买的概率非常大,这就相当于把用户想买的东西,都变成了 “他推广的商品”。
第三步是模拟点击骗平台。他通过计算机程序自动点击这些假推广链接,制造 “用户是通过他的推广才想买这些东西” 的假象。
> 该线上购物平台安全运营专员在后台监测时,发现了一组诡异的数据:李明君及其关联账户的提现金额高达 2124 万元,但大量用户根本没有浏览推广页面的记录,却显示 “点击了推广链接”。
 | 1 wangritian 1 天前 没有修改平台数据,而是从 cookie 拿到了他购物车商品,放到了一个定制网页上,并程序模拟用户去点击所有商品的推广链接,用户加车的商品购买率很高,所以很容易获利,但程序模拟点击之后并没有一个窗口打开对应商品详情页和内部的统计 js ,所以量大就被平台抓到了 |
 | 2 erquren 1 天前 油猴上的比价、领券插件都是这个套路,吃返利,一哥们早些年做的比价插件一个月能有几万,16-18 年吧 |
 | 3 stinkytofux 1 天前 @wangritian #1 他这个做的还是太糙了, 既然都拿到 cookie 了, 完全可以模拟用户浏览器操作, 做好浏览, 停留等行为, 谨慎一点, 这一套很安全啊. 如果不是太过火, 平台也会睁一只眼闭一只眼, 市场部也不需要 KPI. |
 | 4 hubaq 1 天前 利用程序漏洞窃取用户 cookie 信息 这才是最主要的问题啊,拿到 CK 想干嘛都可以了 |
| 5 hubaq 1 天前 这应该是长江以北的某家 |
 | 6 bitlaoyuan 1 天前 我感觉应该是用浏览器插件拿到的 cookie |
 | 7 chendaye 1 天前 我比较好奇他怎么能拿到购物网站的 cookie ,用的浏览器插件或者油猴吗 |
 | 8 aaaak 1 天前 @hubaq #5 会是狗东吗, 文章说的是 《在他网站领券时登录过该线上购物平台》 这样如何盗取 cookie ,如果是浏览器插件的话 应该很好盗 cookie 如果是网页的话 那应该是 XSS 吧 |
| 9 bitlaoyuan 1 天前 |
| 10 bitlaoyuan 1 天前 |
 | 11 usn PRO 推动了发展 |
 | 12 guanhaoran 1 天前 五年,2124 万 值了 |
 | 13 qazwsxkevin 1 天前 不懂就问,cookie 之间不是一直都结界分隔吗(WWW 设计原则),一定要本地机装了内鬼东西才能做到吧... |
 | 14 machilus 1 天前 只有 5 年和罚金 50 万?没有要追回全部获利所得吗? |
 | 16 bckue 1 天前 有技术就是牛逼,随时翻身 |
| 17 stinkytofux 1 天前 @guanhaoran #12 发现很多人都不懂法, 这 50 万是另算的, 赃款肯定是要全部退回, 不算在内. 不退钱就准备牢底坐穿. |
 | 18 rev0 1 天前 @stinkytofux #3 实际上点推广链接会走一整套网页流程,这个大概率养肥了杀猪 |
 | 19 livib 23 小时 31 分钟前 @guanhaoran 你不会以为非法所得能留住吧 |
| 20 bitlaoyuan 13 小时 20 分钟前 @qazwsxkevin 是啊,应该是浏览器装了插件 |
 | 22 fstab 9 小时 36 分钟前 @stinkytofux #17 退赃的前提是有钱,如果钱已经消费了,是没办法退赃的。 他的模式是淘宝客,感觉要返现一部分给消费者,所以最终到手可能没那么多。 也就 5 年大不了不减刑而已,只要不退赃或者少退赃,剩下的钱出来慢慢花也是赚啊。 |
| 23 stinkytofux 9 小时 30 分钟前 @fstab #22 你把法律想象的太仁慈了, 即便出狱, 也需要打工慢慢还, 你名下有任何财产都被划走, 只留基本生活费. 限高的情况下, 你想跑到国外都难. 如果坐牢即债销, 那才是真的乱了套了, 把钱换成 btc 岂不是逍遥. |
 | 24 maladaxia 8 小时 3 分钟前 @bitlaoyuan iframe 里获取不到 cookie 吧 |
| 25 bitlaoyuan 2 小时 43 分钟前 嗯,那肯定是插件获取了 |
Select Language