漏洞相关payload： sgInnora/alipay-deeplink-research: Alipay DeepLink + JSBridge Security Research - 17 Verified Vulnerabilities | 支付宝DeepLink安全研究 | Full Report: innora.ai/zfb 
漏洞相关利用流程，危害，以及安全研究员和支付宝方对线细节： 
Alipay DeepLink Attack Surface Analysis | 支付宝 DeepLink 攻击面分析 
 [image] 
[image] 
漏洞大致总结： 
通过构造绕过了支付宝白名单检测机制的恶意DeepLink完成漏洞利用，当有人点击恶意DeepLink链接后，加载WebView ，js会通过JSBridge调用支付宝内置的各种接口（苹果手机暴漏出的接口比安卓手机多很...