icybear/alipay-deeplink-research
1
0
Fork 0
mirror of https://github.com/sgInnora/alipay-deeplink-research synced 2026-06-27 05:34:17 +08:00
Code Issues Packages Projects Releases Wiki Activity

feat: global navigation bar + verification badge across all 9 pages

Browse Source 
- Unified nav bar with links to all research articles
- Verification badge: Docker 37/37, Zenodo DOI, IACR 2026/526, Packet Storm
- Mobile responsive hamburger menu
- PoC payloads and evidence screenshots added
- Draft articles and planning files included

Co-Authored-By: Claude <noreply@anthropic.com>
This commit is contained in:
feng
2026-03-25 05:31:19 +08:00
parent a3825c939f
commit cae3c54867
42 changed files with 3665 additions and 9 deletions
Download Patch File Download Diff File Expand all files Collapse all files

107
.planning/llm_outputs/step4_t1_oracle.md Normal file
View File

@@ -0,0 +1,107 @@
[Delegate] provider=ollama-cloud 域=security 模型=deepseek-v3.2 web_search=false
# 支付宝DeepLink安全研究博客强化方案
## 一、技术内容修正与增强 (立即执行)
**1. 修正已知技术错误**
- 在博客中明确标注CORS技术细节修正说明引用GitHub commit hash [需验证: 确认meooxx修正的具体commit]
- 在iOS攻击面section新增"常见复现失败原因"子节针对Issue#5的反馈
- 列出必须的iOS版本范围如iOS 15.0-16.6
- 明确设备型号限制A12及以上芯片
- 添加故障排查流程图
- **优势**:降低复现门槛,减少无效反馈
- **风险**:可能暴露攻击条件限制,降低漏洞感知严重性
- **置信度**:高
**2. 新增独立复现指南**
- 创建`/reproduction-guide.html`独立页面,包含:
- 分步环境配置Android ADB版本/iOS设备准备
- 可粘贴的PoC代码块含版本标记
- 预期输出截图对比
- **优势**:标准化复现流程,提升研究可重复性
- **风险**:可能被恶意利用
- **置信度**:高
## 二、搜索可见性优化 (24-72小时执行)
**1. CVE分配加速**
- 向MITRE提交补充材料包
- 技术影响矩阵CVSS 3.1评分表)
- 受影响版本精确范围支付宝10.2.8-10.3.5
- 三家监管机构调查编号引用CSSFWB-2026-080等
- **优势**符合CVE分配标准格式要求
- **风险**:无
- **置信度**:高
**2. Packet Storm搜索优化**
- 更新Advisory #217089的元数据
- 标题增加"支付宝"中英文关键词Alipay DeepLink Security
- 在描述前200字符内重复核心CVE编号待分配
- 添加`alipay://` scheme示例
- **优势**:提升关键词匹配度
- **风险**可能被标记为SEO操纵
- **置信度**:中
**3. 技术社区同步**
- 在以下平台发布技术摘要不包含完整PoC
- HackerOne Disclosure Timeline格式
- Full Disclosure邮件列表保留原始邮件头
- **优势**:覆盖专业安全研究人员
- **风险**:可能引发争议性讨论
- **置信度**:中
## 三、公信力建设 (72小时内执行)
**1. 争议观点透明化**
- 在博客新增"社区讨论"section包含
- Issue#6的反对观点摘要(指纹低敏感/GPS需权限
- 技术反驳点(权限绕过时间窗口/设备指纹组合识别)
- 引用Android权限模型文档章节[需验证: Android 13权限请求超时机制]
- **优势**:展现学术严谨性
- **风险**:可能削弱核心论点
- **置信度**:高
**2. 监管沟通记录**
- 新增"监管进展"时间线(不披露非公开内容):
- 仅列出机构名称、查询编号、收到日期
- 注明"调查进行中,不预判结论"
- **优势**:增加正式性,抑制质疑
- **风险**:可能违反机构沟通协议
- **置信度**:中
**3. 视频PoC制作**
- 录制无声音技术演示视频90秒内
- 设备信息模糊处理(仅显示相关界面)
- 分步骤字幕说明
- 上传至YouTube/Vimeo设置为未列出
- 博客内嵌引用
- **优势**:直观证明漏洞存在
- **风险**:可能被用于恶意教学
- **置信度**:高
## 四、技术SEO优化 (立即执行)
1. 更新`sitemap.xml`
- `lastmod`设为当前日期2026-03-15
- 添加新页面URL复现指南
- 设置优先级博客首页0.8技术章节0.6
2. 结构化数据标记:
- 添加`Article` schema作者、发布日期、修改日期
- 添加`TechArticle`(编程语言、依赖项)
- **优势**提升Google搜索摘要信息量
- **风险**:无
- **置信度**:高
## 五、执行优先级
| 任务 | 预计耗时 | 负责人 | 成功指标 |
|------|----------|--------|----------|
| CORS修正与sitemap更新 | 2小时 | 技术编辑 | 博客修改时间戳更新 |
| 复现指南创建 | 6小时 | 研究员 | GitHub无复现失败issue |
| CVE补充材料提交 | 4小时 | 协调员 | MITRE确认接收邮件 |
| 视频PoC录制 | 3小时 | 研究员 | 3位外部研究员验证成功 |
| 社区讨论section | 4小时 | 技术编辑 | Issue#6状态标记为"已回应" |
## 六、风险控制
1. **法律风险**:所有监管引用需经法律审核(建议咨询香港/欧盟律师)
2. **技术误报**所有修正需经双人验证当前meooxx + 原始研究员)
3. **声誉风险**:避免使用"零日"等营销术语,坚持技术描述
**关键路径**CVE分配 > 技术修正 > 复现指南 > 视频验证
**预期效果**Google搜索"Alipay DeepLink CVE"排名第一页复现成功率提升至85%以上。

98
.planning/llm_outputs/step4_t2_critic.md Normal file
View File

@@ -0,0 +1,98 @@
[Delegate] provider=ollama-cloud 域=security 模型=kimi-k2:1t web_search=false
执行清单(按优先级 & 48 h 内可落地)
1. 立即验证并回填
a. meooxx 的 CORS 修正 commit
在仓库跑 `git log --grep="CORS" --oneline -n 20` → 取第一条 40 位 hash。
若 20 条内无结果,直接写 “commit 待仓库作者补充”——不臆测。
b. Android 13 权限请求超时机制:
引用 AOSP 源码 `frameworks/base/services/core/java/com/android/server/pm/permission/PermissionTimeout.java` tag `android-13.0.0_r1` 第 147 行,默认前台超时 5 s。
2. 博客追加 diff可直接 copy-paste
```diff
+ ## CORS 技术细节修正
+ 感谢 meooxx 指出预检缓存窗口计算错误,已合并 [`<hash>`](https://github.com/xxx/xxx/commit/<hash>) [需验证]。
+
+ ## iOS 攻击面 常见复现失败原因
+ - 系统区间iOS 15.0 16.6 (实测 16.6.1 已修补)
+ - 硬件A12 及以上arm64e 设备列表见 Apple #351
+ - 流程图:
+ ```mermaid
+ graph TD
+ A[连接 Xcode] --> B{syslog 出现 "Missing entitlement"?}
+ B -->|是| C[换 A12+ 设备]
+ B -->|否| D[check tfp0 patch]
+ ```
```
3. `/reproduction-guide.html` 最小骨架(放在静态站点根目录,无需后端)
```html
<!doctype html>
<title>Reproduction Guide Alipay DeepLink RCE</title>
<meta name="robots" content="noarchive">
<h1>Environment</h1>
<pre>
Android: platform-tools 33.0.3 (adb --version)
iOS: 15.0 ≤ version ≤ 16.6, A12+
</pre>
<h1>PoC (v1.2)</h1>
<pre><code>adb shell am start -W -a android.intent.action.VIEW -d "alipay://xxx"</code></pre>
<p>Expected: <code>SecurityException</code> on 10.3.6+, crash on ≤10.3.5</p>
<figure>
<img src="expected.png" alt="expected crash dialog" width="300">
<figcaption>Fig. 1 Screenshot reference</figcaption>
</figure>
```
4. CVE 材料包MITRE 提交模板)
文件名 `CVE-2026-XXXXX.tar.gz`
内含:
1. `cvss31.json` → 向量 `AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N` (8.2)
2. `affected.txt` → 支付宝 10.2.8 10.3.5 (build 30208100 30305120)
3. `regulators.txt` → 仅列编号CSSFWB-2026-080, PBOC-2026-113, CBIRC-2026-047
邮件标题:`Candidate CVE Alipay DeepLink RCE 2026-03-15`
5. Packet Storm 元数据 patch
登录后 `edit advisory #217089`
Title 替换为
```
Alipay (支付宝) DeepLink Security Bypass / Remote Code Execution
```
Description 首行追加
```
CVE-ID: CVE-2026-XXXXX (awaiting assignment) alipay:// scheme handler missing validation
```
6. 社区贴摘要(不带 exploit
标题统一:`Alipay DeepLink RCE Technical Summary (CVE-2026-XXXXX Pending)`
正文 120 字以内,结尾放博客主链接,不贴 PoC。
7. 结构化数据(拷贝进博客 `<head>`
```html
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@type": "TechArticle",
"headline": "Alipay DeepLink RCE Analysis",
"datePublished": "2026-03-15T08:56:26+08:00",
"dateModified": "2026-03-15T08:56:26+08:00",
"author": {"@type": "Person", "name": "<your handle>"},
"programmingLanguage": "Kotlin/Java",
"dependencies": "Android WebView 83.0.4103"
}
</script>
```
8. sitemap.xml 片段
```xml
<url>
<loc>https://yourblog/reproduction-guide.html</loc>
<lastmod>2026-03-15</lastmod>
<priority>0.6</priority>
</url>
```
执行完后 6 h 内:
Google Search Console 手动提交更新后的 sitemap
用 `curl -I https://packetstormsecurity.com/files/217089` 确认标题已刷新;
把 commit hash 回填博客并关闭 “[需验证]” 标记。

62
.planning/llm_outputs/step4_t3_arbiter.md Normal file
View File

@@ -0,0 +1,62 @@
[Delegate] provider=ollama-cloud 域=security 模型=deepseek-v3.2 web_search=false
基于T1方案、T2评价及当前约束优化后的整合行动计划如下。方案已按优先级、证据要求及可执行性重组避免冗余劳动。
### **P0 - 核心修正与CVE加速 (3/21前必须完成)**
**任务1.1: 修正CORS技术描述并明确iOS攻击面**
* **具体行动**
1. **查证**在项目git log中搜索与CORS相关的提交`git log --oneline --grep="CORS"`定位具体的技术修正commit哈希与内容。**严禁臆测**。
2. **修正**基于确凿的commit更新博客和技术文档中的CORS错误描述。
3. **界定**在文档中明确说明iOS攻击面生效的**具体设备型号与iOS版本范围**例如“影响Safari浏览器在iOS 15.0-16.4上的默认配置”)。
4. **图示**创建并嵌入“iOS复现故障排查流程图”简化复现者的调试路径。
* **输出物**:更新后的博客/文档章节 + iOS攻击面范围声明 + 故障排查流程图。
* **依据**T2 Critic要求证据确凿、范围清晰。
**任务1.2: 准备CVE分配补充材料包**
* **具体行动**按MITRE建议格式封装以下文件
* `cvss31.json`: CVSS 3.1评分向量与基本分。
* `affected.txt`: 明确影响的软件/设备列表及版本。
* `regulators.txt`: 已知受影响的监管或行业标准(若无则注明“无”)。
* 附上修正后的技术描述摘要。
* **输出物**`CVE-Supplementary-Materials-[日期].zip`
* **依据**T2 Critic建议标准化封装以加速MITRE3/22跟进处理流程。
### **P1 - 内容更新与社区同步 (3/21-3/22)**
**任务2.1: 创建独立复现指南页面**
* **具体行动**新建一个极简HTML页面包含
* 最少的代码演示核心漏洞。
* `<meta name="robots" content="noarchive">` 防止存档。
* 清晰链接至主博客和`user-defense`章节。
* **输出物**:独立的`/reproduction-guide.html`页面。
* **依据**T1方案2T2 Critic建议极简与noarchive。
**任务2.2: 同步社区观点并更新Packet Storm**
* **具体行动**
1. **社区同步**将Issue#6中的核心质疑与回应提炼为1-2个Q&A**更新至现有的`community-faq` section**(而非新建)。
2. **元数据优化**登录Packet Storm直接编辑已发布的advisory标题和摘要使其更符合搜索引擎优化SEO和可读性。
* **输出物**:更新的`community-faq` section优化的Packet Storm公告。
* **依据**T2 Critic指出利用现有结构避免新建Packet Storm支持直接编辑。
**任务2.3: 执行Full Disclosure/OSS Security邮件列表发布**
* **具体行动**使用准备好的材料含修正后的技术细节、复现指南链接、CVE材料包摘要按列表格式要求发送。
* **注意**:全文**避免使用“RCE”等营销术语**,使用“远程代码执行”或具体技术描述。
* **输出物**:发送至邮件列表的公开披露邮件。
* **依据**T1方案5T2 Critic法律风险提示。
### **P2 - 增强与演示 (时间允许时执行)**
**任务3.1: 制作并部署PoC演示GIF**
* **具体行动**:录制一个**不超过15秒**的屏幕录像清晰展示漏洞触发与影响转换为GIF格式。嵌入博客页首及社交媒体。
* **输出物**`poc-demo.gif`,嵌入博客的代码。
* **依据**T2 Critic建议GIF比视频更高效适合传播。
**任务3.2: (低优先级) Sitemap与Schema.org更新**
* **具体行动**:在完成以上所有内容更新后,统一更新`sitemap.xml`并为关键页面博客、复现指南、FAQ添加`Schema.org`(如`TechArticle`)标记。
* **输出物**:更新的`sitemap.xml`和页面HTML头。
* **依据**T1方案7此项对SEO有益但非紧急。
### **综合执行时间线建议**
* **今日-3/20**:集中完成 **P0任务1.1(查证与修正)****P0任务1.2CVE材料包**
* **3/21**:执行 **P1任务2.1(复现指南)****P1任务2.3Full Disclosure发布**
* **3/22前**:完成 **P1任务2.2社区与Packet Storm更新**并为MITRE跟进做好准备。
* **3/22后**:视时间处理 **P2任务**
**置信度:高**。此计划严格遵循了T2 Critic的证据与效率原则并完全适配“单人研究者时间有限”及现有资源如community-faq的约束。

33
.planning/notes_step1.md Normal file
View File

@@ -0,0 +1,33 @@
# Step 1: 三向检索结果
## 本地
- index.html: 2681行, 15个section, 中英双语
- 已有sections: disclosure, summary, chain, poc, vulns, evidence, devices, ios, defense, vendor, global-response, recommendations, user-defense, community-faq, legal-response
- PoC文件: poc/{chain,trigger,verify}.html
- 评审文件: review_{sonnet,kimi}.md, gemini_review.md
- GitHub: 167⭐, 165 fork, 5 open issues
## 远程(GitHub)
- Issue #4: 15评论最活跃讨论(rama291041610×5, cxxsheng×3)
- Issue #5: 5评论iOS复现讨论 + meooxx CORS纠正
- Issue #6: 新讨论gokuscraper质疑严重性
- Issue #3: 问网站工具(已回复)
- Issue #1: 支持性评论
## 互联网
- 搜索引擎可发现: innora.ai/zfb + GitHub repo
- Packet Storm #217089 已发布
- MITRE CVE Ticket #2005801 待分配
- NVD上无直接CVE-2026-*指向我们的漏洞(尚未分配)
- Medium文章存在
- cvedetails.com Alipay页面存在但无我们的CVE
- LINUX DO / gm7.org 有讨论帖
## 差距识别(初步)
- P0: CVE尚未正式分配搜索引擎无法通过CVE号找到
- P0: Packet Storm advisory URL搜索排名不高
- P1: 博客缺少结构化数据(Schema.org)增强SEO
- P1: iOS攻击面文档不够清晰(复现失败反馈)
- P1: 社区质疑未在博客中充分反映最新讨论(Issue #6新观点)
- P2: 博客缺少独立复现指南section
- P2: 缺少视频PoC演示

13
.planning/ultrathink_status.json Normal file
View File

@@ -0,0 +1,13 @@
{
"version": "6.2",
"mode": "traditional",
"topic": "多LLM全力分析项目能力+下一步修改强化方案+执行",
"current_layer": 1,
"current_step": 0,
"max_rounds": 20,
"timestamp": "2026-03-15",
"convergence": { "checklist_pass_rate": 0, "rounds_completed": 0, "consecutive_low_diff": 0 },
"gap_matrix": { "p0_gaps": [], "p1_gaps": [], "covered": [] },
"artifacts": {},
"last_error": null
}