V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
typedesc
V2EX  ›  支付宝

支付宝×B 站高危漏洞,弱密码盗刷支付宝

  •  
  •   typedesc · 2023-06-11 13:24:11 +08:00 · 4124 次点击
    这是一个创建于 531 天前的主题,其中的信息可能已经有所发展或是发生改变。
    12 条回复    2023-12-02 06:00:47 +08:00
    tyzandhr
        1
    tyzandhr  
       2023-06-11 13:44:59 +08:00 via Android
    向晚原来是快 30 岁的大妈了啊
    Felldeadbird
        2
    Felldeadbird  
       2023-06-11 14:39:12 +08:00
    这个应该不算漏洞吧?

    只是利用了支付账号支付(免登录),直接输入(弱口令)支付密码完成支付。
    xmumiffy
        3
    xmumiffy  
       2023-06-11 14:50:48 +08:00   ❤️ 2
    这是支付宝 SDK 的特性,和使用的发起端无关.只是说支付宝的风险模型允许小额情况下,三次以内密码尝试成功后直接支付
    czfy
        4
    czfy  
       2023-06-11 15:59:12 +08:00   ❤️ 8
    @tyzandhr 26 直接就快 30 ,30 直接成大妈
    难怪国内程序员会有 35 岁危机,年龄歧视由公务员招聘带起,普通民众自己内化得挺乐呵
    EdwardWong
        5
    EdwardWong  
       2023-06-11 16:02:22 +08:00
    支付宝所有正规商户 Web 端支付的时候也是默认使用账号 + 支付密码,只有被风控(大额,非常用环境)的情况下才会要求其他验证方式(反正钱最后还是在支付宝自己的系统里,要追回很容易吧)。(另:银行卡 cvv 只有三位,如果没有 3ds 理论风险可能更高?)
    yanghanlin
        6
    yanghanlin  
       2023-06-11 17:51:47 +08:00
    看起来除了具体思路 3. 之外都算不上漏洞,整个流程就相当于偷到了银行卡(获取到支付宝账号)、猜出了银行卡密码(支付宝账号支付密码),并通过 ATM 机成功取款
    wdv2ly
        7
    wdv2ly  
       2023-06-11 21:47:11 +08:00 via Android
    楼上都没仔细看内容吧?这个如果描述属实,相当于拿支付密码可以直接登录支付宝账号了,这还不是漏洞?
    xmumiffy
        8
    xmumiffy  
       2023-06-11 21:49:14 +08:00 via Android
    @wdv2ly 本来就可以
    xmumiffy
        9
    xmumiffy  
       2023-06-11 21:57:48 +08:00   ❤️ 1
    @wdv2ly 参考 /t/697094 https://www.zhihu.com/question/20289013

    支付宝的登入密码早就没啥用了,大部分地方用的都是 6 位支付密码
    MengiNo
        10
    MengiNo  
       2023-06-12 05:22:49 +08:00
    恕我没看懂,支付宝不是十几年来一直都是这么运行的么,这也叫高危漏洞。可能就我手机没有支付宝这个 app 吧?我点瑞幸、点饿了么选支付宝从来都是跳 Safari 然后就是直接这样登录支付的,而且登录后会记录 cookie 一段时间内直接就是支付页面,只要点 “支付” 输入支付密码就能付钱。哪那么多麻烦事情,还要 b 站版本低于多少 balabala ,什么抓包之类的。
    xmumiffy
        11
    xmumiffy  
       2023-06-13 08:58:53 +08:00 via Android
    @MengiNo 是的,支付宝一直都是这样,压根不用这么麻烦
    cxy2244186975
        12
    cxy2244186975  
       358 天前 via iPhone
    上次遇到这种问题还是在 16 年、支付宝 5k 余额内的双密鱼料 一百块钱一条、你问我 它们黑灰产怎么利用?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2475 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 02:29 · PVG 10:29 · LAX 18:29 · JFK 21:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.