收藏
回答

最近大批量小程序老是被一个搞空气炸锅的活动挟持,有可能是官方小程序漏洞被利用了,建议官方尽快排查一下

框架类型 问题类型 终端类型 微信版本 基础库版本
小程序 Bug 微信iOS客户端 6.5.3 2.0.0

目前发现大批量小程序,而且是不同主体的, 都提示了这个九阳空气炸锅免费领取活动,一看就是个诈骗活动,并且看到社区里面很多人都遇到这个问题,排查我们程序代码没问题,有可能是官方小程序漏洞被利用了,建议官方尽快排查一下,而且统一都是一个 九阳空气炸锅, 都不知道从哪来的,因此造成多个小程序同时被封,提示此账号关联账号存在严重违规,给正常运营带来了极大的困扰,建议官方尽快排查阻断此类活动继续传播。

分析原理: 受此影响的小程序基本都是配置了业务域名的,攻击者利用小程序业务域名配置漏洞,强插入这个活动链接,目前还有各种形式的,不断演化变异,一个网页竟然能获取到小程序的头部信息,并且劫持利用,这个技术真是吊炸天了呀

希望官方能出面排查一下具体问题?


最后一次编辑于  2023-05-12
回答关注问题邀请回答
收藏

8 个回答

  • Jipwingleon
    Jipwingleon
    2023-05-15

    你好,请按站内信详情整改后在功能封禁站内信中发起申诉即可,会有相关人员审核。

    2023-05-15
    有用
    回复 1
    • 流年、
      流年、
      发表于移动端
      2023-06-04
      有没有解决方案发一下呢
      2023-06-04
      回复
  • A服务器维护
    A服务器维护
    2023-05-17

    我这边客户反馈,总结的被感染的小程序,都是使用了直播功能,你那边是不是也有直播的源码

    2023-05-17
    有用 1
    回复
  • 邓刚
    邓刚
    发表于移动端
    2023-05-16
    研究一下,我们一起去攻击。
    2023-05-16
    有用 1
    回复 2
    • 柒柒
      柒柒
      发表于小程序端
      2023-06-08

      这是被不法分子利用小程序漏洞xxs入侵了,我有众多案例,你能否提供邮箱,我把案例全部发给你,并且提供给你作案人员信息名单。

      2023-06-08
      回复
    • 厽500磊
      厽500磊
      2023-06-13回复柒柒
      我这边也被劫持了,957061836@qq.com
      2023-06-13
      回复
  • 柒柒
    柒柒
    发表于小程序端
    2023-06-08

    这是被不法分子利用小程序漏洞xxs入侵了,我有众多案例,你能否提供邮箱,我把案例全部发给你,并且提供给你作案人员信息名单。

    2023-06-08
    有用
    回复
  • 流年、
    流年、
    发表于移动端
    2023-06-04
    今天出现一样的问题了,有没有解决方案那
    2023-06-04
    有用
    回复
  • 阿波
    阿波
    2023-05-29

    我们遇到类似情况,是业务域名被xss注入攻击了,篡改了页面,官方无法判断该,建议开发者做好对小程序的安全加固。

    2023-05-29
    有用
    回复
  • 封伟
    封伟
    2023-05-17

    我今天也遇到了,是微擎的模块,你是自己的小程序吗,还是用了类似的框架

    2023-05-17
    有用
    回复 1
    • ALEX
      ALEX
      2023-06-05
      微擎的上传文件接口 是不是有漏洞呢? 找到解决办法了吗?我是发现我的腾讯云存储这几天多了很多html的页面,而这些页面就是空气炸锅的诈骗主页面,腾讯云存储目前就只有微擎里面能调用上传文件。
      2023-06-05
      回复
  • 一样的
    一样的
    2023-05-17

    受此影响的小程序基本都是配置了业务域名是不对的,即使没有配置业务域名一样被攻击。

    2023-05-17
    有用
    回复
登录 后发表内容