目前发现大批量小程序,而且是不同主体的, 都提示了这个九阳空气炸锅免费领取活动,一看就是个诈骗活动,并且看到社区里面很多人都遇到这个问题,排查我们程序代码没问题,有可能是官方小程序漏洞被利用了,建议官方尽快排查一下,而且统一都是一个 九阳空气炸锅, 都不知道从哪来的,因此造成多个小程序同时被封,提示此账号关联账号存在严重违规,给正常运营带来了极大的困扰,建议官方尽快排查阻断此类活动继续传播。
分析原理: 受此影响的小程序基本都是配置了业务域名的,攻击者利用小程序业务域名配置漏洞,强插入这个活动链接,目前还有各种形式的,不断演化变异,一个网页竟然能获取到小程序的头部信息,并且劫持利用,这个技术真是吊炸天了呀
希望官方能出面排查一下具体问题?
你好,请按站内信详情整改后在功能封禁站内信中发起申诉即可,会有相关人员审核。
我这边客户反馈,总结的被感染的小程序,都是使用了直播功能,你那边是不是也有直播的源码
这是被不法分子利用小程序漏洞xxs入侵了,我有众多案例,你能否提供邮箱,我把案例全部发给你,并且提供给你作案人员信息名单。
这是被不法分子利用小程序漏洞xxs入侵了,我有众多案例,你能否提供邮箱,我把案例全部发给你,并且提供给你作案人员信息名单。
我们遇到类似情况,是业务域名被xss注入攻击了,篡改了页面,官方无法判断该,建议开发者做好对小程序的安全加固。
我今天也遇到了,是微擎的模块,你是自己的小程序吗,还是用了类似的框架
受此影响的小程序基本都是配置了业务域名是不对的,即使没有配置业务域名一样被攻击。