https://v2ex.com/t/687482
https://www.hostloc.com/thread-712363-1-1.html

MJJ论坛有人解析了下。

大概就是利用淘宝的redirectURL漏洞。

然后实际打开淘口令，是跳转到一个高仿网站，最后通过支付宝支付，就被骗走了。

关键阿里还不赔，操作太骚

----------------------------------------------
应该不止闲鱼，淘宝的app也可以利用此漏洞。

漏洞坚决不改，到时候去搞公布漏洞的人。

先拍锁单，回去再付款的习惯比较好 @iOS

什么买耳机被坑，这不是搞陪玩被骗了吗

现在都是直接跳到app哦

回复4#chen5

骗子把页面换了啊

回复5#jjban

限于保密我不能透露太多具体内容哈。只能说两个：
1.漏洞已经修复。
2.相关业务方正在主动联系楼主。


刚修复吧

回复6#by曲终人散
解释就是掩饰

回复8#chen5

不懂这有什么好杠的，两个网页上都有说明

淘宝牛逼，这么大漏洞

别闹了，小心上门服务

手机淘宝下单呢

不是在app里打开页面么，淘宝支付宝app里还能跳去第三方的网页？

手淘打开淘口令还能跳去第三方网站？淘宝app内部打开第三方网站？不可能是跳到手机浏览器打开吧，那样还付款就更不符合逻辑了

先用返利软件看下呢