最近看到各种论坛群里满天飞红包段子链接，比如这种：

穿山甲到底说了什么，打开“xxx”查看~

支付宝被爆巨大漏洞，打开“xxx”查看~

腾讯会员 1 毛钱一个月，速速打开“xxx”领取~

点击链接，自动给你跳转到支付宝红包界面，好吧，又被人撸羊毛了~

作为一个安全学习者，怎么能不追求热点去学习一波这种神奇的操作是如何进行的呢~

特地去知乎搜了一波，果然有各路大佬在分享源码，特地弄了一个进行源码审计，学习学习~

源码分析

大佬分享的源码如下：

对于以上代码需要了解一下基础，如下：

1、来了解一下 Navigator 对象，Navigator 对象包含有关浏览器的信息，上面的 userAgent 属性是一个只读的字符串，声明了浏览器用于 HTTP 请求的用户代理头的值。

所以我们可以通过判断 navigator.useragent 里面是否有某些值来判断。

简单来说，可以理解成 http 请求头读到的 uesr-agent。

2、举个例子

window.location.href = /Android|webOS|iPhone|iPod|BlackBerry/i.test(navigator.userAgent) ? "https://www.baidu.com/" : "http://news.baidu.com/";

利用了正则表达式和三目运算符，含义就是如果是移动端打开的话那就跳转到 https://www.baidu.com/，如果不是就跳转到 http://new.baidu.com/，实际上就是利用正则去判断 navigator.useragent 是否含有 Android/webOs/iphone 等字符串，并且利用修饰符 "i" 做了不区分大小写，然后用正则的方法 test 去判断是否满足。

思路介绍

这是一个比较火的源码，上面是我的一些分析，其实思路真的是比较简单，分几步给大家介绍一下吧

1、从支付宝红包界面选择发红包 -> 立即赚赏金 -> 二维码，拿到一个这样的二维码！

2、拿到二维码，使用各种免费的网站进行解析，分析出其中的文字链接，比如我的：

3、将上述源码中开头的变量 a，b 进行替换，然后将网页丢入你自己的云服务器即可。为了增强别人的信任，还可利用新浪的短链接生成一个别人看不出来路短链接域名，配合上各种吸人眼球的段子就可以大量传播发红包了~

代码思路分析：

1、其实就是利用了链接跳转

2、如果是知乎等 app 未设置拒绝浏览器唤醒，相当于进行了跳转到浏览器，再跳转到支付宝

3、如果是微信，会进一步针对安卓或者 ios 进行接口调用，唤醒浏览器进行二次跳转

4、归根结底，就是利用了浏览器做二次跳转~

截止到本文发布前，实测：

1、微信已经无法利用此代码进行浏览器的唤醒操作。

2、qq 测试的结果是只能打开自带的内置 qq 浏览器然后不能唤醒支付宝~

3、其他如 uc 浏览器直接测试，或者知乎等都还是可以的；

4、总结下：其实如果针对这些不需要进行调用接口进行唤醒浏览器的 app 来说，直接可以将你得到的那个支付宝链接通过新浪短连接生成一个隐蔽的短连接去让别人点击即可~

你以为到这里就结束了？

错了，作为一个安全学习者，怎么能不从安全的角度进行分析呢！

从安全角度分析，虽然这是一场流量大V的发红包狂欢，但不得不防有犯罪分子乘机构造各种恶意链接混在其中去获取的个人信息！

可能你点击的前一万个链接都是跳转支付宝的链接，你慢慢的就放松了警惕，忘记了爸爸妈妈所说的，新闻中报到的各种不明的链接不能乱点的警示案例~

以上利用方式其实就是大家所熟知的 CSRF，下面就简单介绍一下 CSRF 攻击。

CSRF 攻击介绍

CSRF（Cross-site request forgery），它的中文名称是跨站请求伪造 也被称为：one click attack/session riding 缩写为：CSRF/XSRF 简单地说，CSRF 就是利用了我们的登录状态或者授权状态，然后做一些损害我们自身利益的事情。

举个例子：

比如说你转账的链接的链接是

http://www.yinghan.com/money.php?count=10&&id=xxxxxxxxxxx

10 代表的是金额，id 代表的是转账到的账号。

你可能说我没登录银行，我就点一下这个链接又能怎样。

这个理解就错了。

很多时候，绝大多人为了方便，可能会使用浏览器的记住密码功能，或者点击网站上免登录的这个选项；

这本身没问题，但是当你点击了不良链接的时候，你的身份（cookies）就会跟着你一起访问这个页面，银行则会认为这是你的操作，所以交易成功了！（当然，实际生活中银行的判断不是仅仅这样，这里这是举例子）

实际情况

当黑客发现一个网站的 csrf 漏洞时，可能之前他没有什么好办法让你点击这个链接，但是，混在这个支付宝红包狂欢的时间，一个小小的链接，即可让你损失颇重~

关注下OWASP top10

2017 年 csrf 依旧稳居前十~

一路前行，方便虽好，安全第一~