咱也不是很懂前端,能不需要用户操作仅凭存储的信息就能直接进行转账?
1
lambdaq 2022-11-09 22:24:36 +08:00
点击一个链接 -> 触发浏览器 0day -> 浏览器提权 root -> 下载 payload 扫手机钱包 -> 后台调用刷脸 -> 钱没啦
理论可行。几率不高。 |
2
yuuko 2022-11-09 22:28:51 +08:00
他说的是不是 xss 攻击?但是这个转账就范围太大了,如果是不用调起第三方而且不需要两步验证的+密码的话是可以。不过基本不可能存在。
|
3
Grouie 2022-11-10 00:22:59 +08:00 via iPhone
跨域吧 没戏
|
4
mxT52CRuqR6o5 2022-11-10 00:34:06 +08:00 via Android
吹逼谁不会,你信你就输了
|
5
retrocode 2022-11-10 08:59:35 +08:00
新人不懂事, 吹着玩的
|
6
yyf1234 2022-11-10 09:18:02 +08:00 via iPhone
我懂了这个链接是 jsapi 能发起支付
|
7
Greenm 2022-11-10 10:17:43 +08:00
CSRF 吧,但也属于漏洞。
|
8
dtdths1 2022-11-10 10:57:04 +08:00
骗哥们可以,后面👴忘了
|
9
ochatokori 2022-11-10 11:53:24 +08:00 via Android
做个链接把我钱转走绝杀哈哈
|