极客海淘,属于你的购物分享社区
  • 当前位置:海淘经验>>文章详情

  • 转给跟我一样后知后觉的人:支付宝登陆漏洞,该漏洞会对用户余额宝产生怎么样的影响或者是危害? 2014-02-18 14:29
  • 标签: 漏洞 支付宝 经验
    购物直达
  • 这两天的淘宝付款,即便是非常小的金额,都需要短信验证,这在以往是没有的。青椒没有多想,直到看见有人分享的这篇文章,才知道支付宝除了这么大的漏洞。各位一定要小心。

    文章转自知乎:
    乌云所提漏洞描述在此:http://www.wooyun.org/bugs/wooyun-2014-051178

    以下为全文转载:


    Evi1m0,来自知道创宇,邪红色信息安全组织创始人
    今天(2014年2月17日)下午,互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝(我的余额宝撒)》的漏洞一炮打响,一时间各BBS、微博、微信、QQ群展开火热的讨论,很多人表示关心自己支付宝是否安全?有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。
    首先回答大家最关心的问题,网络支付还安全吗?

    当然今天所看到的只是某个漏洞提前曝光在了大家眼前,至于支付是否安全,我觉得这得需要服务提供商(公司)和用户共同来铸造,单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户,你怎么样守护他的安全?系统打好补丁,别上小网站下载乱七八糟的应用,先保证自己电脑以及安全意识没有那么低下,剩下的安全就交给服务提供商来做吧!好在近几年国内厂商安全意识有所提高。

    这个问题只是网络安全漏洞世界中的冰山一角,为什么大家会那么关心这个问题,好多朋友甚至私信、短信我问这个问题?
    其实说起来也很简单,因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天,你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的,比如他的论坛密码泄露?通知他说:“你某论坛密码泄露了,修改一下吧”他会很无所谓的告诉你:“泄露就泄露吧,反正没多大事,实在不行重新注册一个”
    爱财之心,人皆有之。这个漏洞引发了不少人的恐慌,好在我支付宝没绑定银行卡,余额宝更是没有钱,索性好好的分析一下这个漏洞的详细情况。
    漏洞详情?威胁究竟如何?
    2014-02-17下午14:20 Wooyun平台上爆出这个漏洞,截止到16:00已经修复,当然大家不知道这个漏洞也许存在并被利用很久了,前面说过了,只是浮出水面的一角。
    14:25分的时候我收到一封来自这里姑且称之为“L”的邮件,提供给了我漏洞详情,称漏洞快被修复了让我拿来研究一下,看完之后真是娇躯一震。

    邮件内容只有一句话:site:http://login.taobao.com inurl:login_by_safe, about wy. L
    但是就是这样一句话,想必就是白/黑帽子梦寐以求的东西,现在漏洞已经Fix,当然这篇文章全文都是我编的,不用太在意。
    后面就好办了,于是我们进行的简单的GoogleHack:

    https://login.taobao.com/membe ... id%3D*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=

    上面就是结果页的URL,写到这里我有点儿编不下去了,便把user_num_id的值打了星星符号,这个漏洞是这样的,搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户,再从淘宝可以跳到支付宝,当然不需要登录。
    于是后面我又把这个URL进行了“分解”:
    https://login.taobao.com/member/login_by_safe.htm?
    sub=
    &guf=
    &c_is_scure=
    &from=tbTop
    &type=1
    &style=default
    &minipara=
    &css_style=
    &tpl_redirect_url=
    &popid=
    &callback=jsonp97
    &is_ignore=
    &trust_alipay=
    &full_redirect=
    &user_num_id=*********
    &need_sign=
    &from_encoding=%810%851_duplite_str=
    &sign=&ll=
    后来又对比了几个,发现其中不同的仅是callback与user_num_id,callback不用理睬,也就是我们可以通过遍历user_num_id便能登陆任意账户。

    其实一旦支付宝账户像这样的方式泄露,用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏,哎,这事又怪不得用户。不过阿里这次能给国内网民提个醒,注意注意安全!当然有好多朋友提出这样的疑问:“他又不知道我的转账密码,所以还是没问题啊,一点儿表示不担心”。像遇到这种人只能笑而不语,其实支付宝是有个小额免密的功能的,那么大数据用户面前来几百万个小额免密的用户,黑产小伙们就笑了。
    哦,对了,不知道黑产小哥们玩了多久这个漏洞了。
    类似的漏洞有没有?
    下午redrain(信息安全爱好者)和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞,但没有今天如此严重,还好留下两张历史图片:

    其实这种漏洞在某些地方还是蛮多的,如果你认为所有漏洞都会披露到互联网水面上,那就太天真了。
    支付安全中另外一种很常见的攻击手法就是钓鱼了,这种钓鱼普遍发生在高档咖啡厅,黑客采用定点攻击,搭建WIFI热点让其用户连接监听用户所有流量包进行劫持,这两天会发表一篇关于DNS劫持的文章,他们之间有异曲同工之妙的联系。
    官方表态
    16:40分时,淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币:

    甲方公司这样的态度令人称赞,让我们共同呼吁铸造安全互联网!
    最终结论
    说到底,用户怎么样才能保证自己的支付安全?
    1、开启短信验证码支付
    2、手机支付的话开启手势支付
    3、绑定数字证书
    4、不链接陌生的Wifi
    5、使用复杂密码(重要网站使用独立密码)
    6、没有必要的话手机不要越狱或者Root
    7、…
    安全是一个整体,单线安全注定不安全,这就需要服务商与我们共同的安全意识。
  • 支付宝漏洞.jpg
  • 评论(40)

要回复主题请先登录注册

北辰 2014-02-21 09:53

这个太恐怖了

0 0
wxtleny 2014-02-20 17:59

这个看到挺久了啊

0 0
甜瓜海外代购 2014-02-20 17:59

这个太悲催了。。。

0 0
we1bo798 2014-02-20 17:41

现在太恐怖了。。。

0 0
大大奶酪 2014-02-20 17:21

如何获取积分呢?

0 0
msjeffrey 2014-02-20 17:20

挺吓人的,怎么办呀

0 0
我叫红领巾0 2014-02-20 17:10

来学习了 哈哈哈哈

0 0
我叫红领巾0 2014-02-20 17:10

来学习了 哈哈哈哈

0 0
俞哲 2014-02-20 16:51

太恐怖了,感谢提醒!!

0 0
ivan2015 2014-02-20 16:35

感觉还好吧 会完善的

0 0
我的愿望清单

更多清单

猜你喜欢