工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
自从 2022 年开始,招商银行不再把借记卡综合对账单直接放在邮件里,而是脱裤子放屁在里面放了个链接非要用户去点击(潜在追踪用户的点击时间、IP 地址等信息)。
只要取得了该链接中的 TOKEN 那么公网上谁都可以访问,虽然这个链接只通过电子邮件发送给你,但是仍然有以下的隐患。
电子邮件中的链接是 http:// resourcevisit .paas .cmbchina .com / billServletNew?token=(512bit token)
1. 链接是 HTTP 的,虽然最后会 HSTS 成 HTTPS 但是首次请求时可能就已经泄露了 TOKEN
2. 只要有 TOKEN 不需要任何其它信息即可访问到账户金额,也就是说很容易就可以重放。
3. 512bit 的 TOKEN 并不是随机生成,而是拼接而成,其中有固定的一部分为用户账号信息,还有一部分是时间信息(账单月份),最后一部分可能是签名或者校验。
TOKEN 获取的方式可以有多种,比如会监视用户访问的浏览器( Edge 以及某些国产浏览器);另外通过用户的浏览器历史记录;某些网关设备,包括 ISP 也可以轻松获得。
另外时间足够的话,公开的 URL 信息是可以遍历的,这个 TOKEN 除去用户账户和时间信息,剩下的不一定能够保证加密强度。因此我强烈建议还有收到这个信息的用户,取消这项服务。
取消途径是:招行专业版借记卡综合对账单协议设置。手机网银上没有这个设置。
只要取得了该链接中的 TOKEN 那么公网上谁都可以访问,虽然这个链接只通过电子邮件发送给你,但是仍然有以下的隐患。
电子邮件中的链接是 http:// resourcevisit .paas .cmbchina .com / billServletNew?token=(512bit token)
1. 链接是 HTTP 的,虽然最后会 HSTS 成 HTTPS 但是首次请求时可能就已经泄露了 TOKEN
2. 只要有 TOKEN 不需要任何其它信息即可访问到账户金额,也就是说很容易就可以重放。
3. 512bit 的 TOKEN 并不是随机生成,而是拼接而成,其中有固定的一部分为用户账号信息,还有一部分是时间信息(账单月份),最后一部分可能是签名或者校验。
TOKEN 获取的方式可以有多种,比如会监视用户访问的浏览器( Edge 以及某些国产浏览器);另外通过用户的浏览器历史记录;某些网关设备,包括 ISP 也可以轻松获得。
另外时间足够的话,公开的 URL 信息是可以遍历的,这个 TOKEN 除去用户账户和时间信息,剩下的不一定能够保证加密强度。因此我强烈建议还有收到这个信息的用户,取消这项服务。
取消途径是:招行专业版借记卡综合对账单协议设置。手机网银上没有这个设置。
 |
1
NoirStrike 4 天前
👍
不过我只开了信用卡的账单服务, 这个没什么印象 |
 |
2
w2er 3 天前 via Android
这点上是很赞同楼主的
|
Select Language