阿里惊现淘口令漏洞，或导致上亿用户受影响（已修复漏洞）

哈哈哈哈，我也来标题党一下，体验一下自媒体的快感！真是爽啊！

狗日的淘宝，我刚大概了解到生成方法，他他他修复了！！！！！

友情提示：不要打开陌生人的淘口令，一定要自己搜索用户名或者商品

事情发展经过

论坛有位MJJ声称被咸鱼诈骗，据卖家描述他在贴吧看到一个人卖，耳机然后加qq，后给其发了个淘口令 让用咸鱼打开，卖家复制后打开咸鱼提示淘口令，点击确认，然后填写收获地址付款后 ，在咸鱼的订单里面没有找到！详情点击查看

本来我是不信的，毕竟阿里家的app还是值得信赖的，不可能存在这样的漏洞，后来本着一探究竟外加吃瓜心理去研究了一下那个淘口令！

然后，我傻了！！！！！这tm的竟然真的是咸鱼的漏洞！

解析淘口令过程

淘口令：￥jLFM1x086Lm￥

解析结果：

 淘口令链接：https://login.taobao.com/member/login.jhtml?redirectURL=http://suo.im/6bvtlW&un=382bc58ace73c8f855673e655f78e05b&share_crt_v=1&spm=a2159r.13376465.0.0&sp_tk=77+ld3VCRzFFV2xNQXHvv6U=&ut_sk=1.utdid_12574478_1593797476511.TaoPassword-Outside.windvane
 淘口令标题：陪玩#可夜
 淘口令剩余时间：28天0小时3分9秒

解析后的网址的意思就是，登录淘宝然后redirectURL跳转到 http://suo.im/6bvtlW 把这个短连接还原成原链接就是：http://zhuanzhuan-58.com/xy/?i=583682346360333186r.shtml&liequSourceFrom=045767243067474117u&ClickID=616

骗子骗完一单就会把这个淘口令屏蔽掉（设置自动跳转到咸鱼），我只能网页打开了

打开链接，这个网址贼骚，检测到你电脑访问就跳转咸鱼，手机访问正常（现在手机也打不开了，全部跳转咸鱼，主站跳转百度，骗子日常操作，有个老哥反馈他被这个网站骗了1900，而且这个网站精确点对点骗人，不同的clickid展示内容也不同）

哦豁，我深度怀疑这位MJJ不是买耳机被坑，而是搞陪玩被坑的。。。这是一个高仿咸鱼的网站，点击我想要，会提示淘宝打开，然后出现付款（楼主说咸鱼有网页支付，但是咸鱼客户端付款是不支持网页支付，这里因为是网页打开，所以出现了网页支付），调用支付宝，然后你懂的！出现付款界面，收款商家为那个交易猫，老规矩，诈骗都是通过冲q币洗白

ps：补充说明，可能确实是mjj买耳机被坑，这个网站根据不同点击id显示不同内容，大部分都是高仿咸鱼转转等

打开骗网站后，全部高仿咸鱼，但是除了“我想要”可以点击，其他按钮都不能点击，点击后直接支付宝付款，下付截图（典型的冲qq币洗赃款）：

至于跳转后面的参数百度搜索TaoPassword-Outside.windvane，会发现好多类似熟悉参数的淘宝客链接或者聚划算链接之类，这一堆参数估计是为可以生成淘口令用的（淘口令生成有严格参数限制的），没玩过淘口令就不解析这些参数了：

事情总结：这事应该淘宝背锅，咸鱼内竟然不搞白名单，咸鱼兼容淘宝口令的方式通过网页版打开淘宝链接的，而且是自动登录的且不显示网址的，所以假如一个假的淘口令，当你复制到咸鱼后，他会自动登录你的淘宝账号，然后跳转到http://suo.im/6bvtlW，然后就被骗了

所以故事大概就是这样的

正常交易路径：

用户复制淘口令到咸鱼，咸鱼会以网页形式打开链接，并自动登录（大家可以复制一个淘宝口令试一下），不用登陆可以下单购买，付款只能支付宝付款（没有网页付款）

被骗路径：

骗子先发布淘口令（正规的可以被咸鱼淘宝识别的淘口令），用户复制淘口令，咸鱼默认以网页形式登录淘宝，然后网址的redirectURL自动跳转到http://suo.im/6bvtlW，接下来就就是在咸鱼app内部网页打开http://suo.im/6bvtlW，这是一个高仿的咸鱼界面，几乎和真的一模一样，让人误以为在咸鱼app里，而且咸鱼app内打开网页是不显示网址的，根本无法辨别真假，剩下只要用户点击了我想要就会自动跳转到淘宝付款，然后就被骗了，

只能说想到这个方法的人牛逼啊！！！！！！！

至于说背锅？这锅阿里必须要背

第一：淘口令自己把关不严，竟然让假的网址生成淘口令（大家可以自己测试用假的网址生成淘口令有多难,淘口令只认自家的淘宝客链接）

第二：咸鱼内不设置白名单，竟然跳转到第三方诈骗网站，而且是不显示网址的，根本分辨不出真假（我放的那个网站截图是手机浏览器打开的，看一眼网址就知道假的，咸鱼内不显示网址，根本分辨不出来）

第三：整个被骗的流程都在咸鱼内完成，用户复制的淘口令非法跳转诈骗网站，且不显示网址，并且会直接调用支付宝支付了，简单的例子，你复制一个淘宝正规商品的淘口令，可以直接跳出支付宝付款，当然你打开诈骗网站，咸鱼内也会跳出支付宝付款，你付完钱咸鱼内连订单都找不到，然后就会发现支付宝有个冲qq的的订单（诈骗洗钱套路）

附上淘宝反馈结果： 和支付宝客服反馈，踢给淘宝，和淘宝客服反馈，踢给咸鱼，然后咸鱼反馈了，撤了半天，技术客服给了结论，确实存在有人滥用淘口令这个漏洞，但是我们没办法，你要被骗了就去报警，我们只负责有订单号的！

看到没，什么叫牛逼，这就叫牛逼！！！大家还是各自小心吧，慎用淘口令！