电商诈骗平台漏洞挖掘实录：从供应链后台到数据泄露的破局之路

原创 子午猫 网络侦查研究院 2025-05-10 10:27

一、钓鱼网站初体验：分红模式下的技术嗅觉

接到侦查委托的那一刻，我盯着屏幕上的
 “跨境电商分红平台” 陷入沉思。表面上看，这是一个打着 “巴西电商项目” 旗号的投资平台 —— 用户投钱支持项目，每完成一笔巴西订单就能获得分红。但凭借多年经验，这种 “稳赚不赔” 的模式大概率是诈骗陷阱。带着怀疑打开网站，简洁的 UI 背后藏着诡异：首页没有任何商品详情，只有滚动的 “用户收益” 跑马灯，注册按钮旁的倒计时弹窗不断催促 “最后 3 个黄金席位”。

（一）技术侦查前的业务画像

先不急着开
 burp 抓包，而是用思维导图梳理平台逻辑：

graph TD     A[用户投资] –> B[资金进入平台]     B –> C{资金流向?}     C –>|宣称| D[巴西电商项目]     C –>|实际| E[诈骗分子腰包]     F[分红机制] –> G[伪造订单数据]     H[技术架构] –> I[前后端分离]     I –> J[前端: Webpack构建]     I –> K[后端: Spring Boot]

这种模式下，技术突破口往往不在前端展示层，而在供应链管理后台—— 诈骗分子需要一个地方伪造订单、管理假数据。带着这个假设，开始第一步：信息收集。