乌云于 2014 年 02 月 17 日爆出支付宝登陆漏洞,该漏洞会对用户余额宝产生怎么样的影响或者是危害?
转自知乎:http://www.zhihu.com/question/22769152/answer/22570990
Evi1m0,来自知道创宇,邪红色信息安全组织创始人
今天(2014年2月17日)下午,互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝(我的余额宝撒)》的漏洞一炮打响,一时间各BBS、微博、微信、QQ群展开火热的讨论,很多人表示关心自己支付宝是否安全?有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。
首先回答大家最关心的问题,网络支付还安全吗?
当然今天所看到的只是某个漏洞提前曝光在了大家眼前,至于支付是否安全,我觉得这得需要服务提供商(公司)和用户共同来铸造,单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户,你怎么样守护他的安全?系统打好补丁,别上小网站下载乱七八糟的应用,先保证自己电脑以及安全意识没有那么低下,剩下的安全就交给服务提供商来做吧!好在近几年国内厂商安全意识有所提高。
这个问题只是网络安全漏洞世界中的冰山一角,为什么大家会那么关心这个问题,好多朋友甚至私信、短信我问这个问题?
其实说起来也很简单,因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天,你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的,比如他的论坛密码泄露?通知他说:“你某论坛密码泄露了,修改一下吧”他会很无所谓的告诉你:“泄露就泄露吧,反正没多大事,实在不行重新注册一个”
爱财之心,人皆有之。这个漏洞引发了不少人的恐慌,好在我支付宝没绑定银行卡,余额宝更是没有钱,索性好好的分析一下这个漏洞的详细情况。
漏洞详情?威胁究竟如何?
2014-02-17下午14:20 Wooyun平台上爆出这个漏洞,截止到16:00已经修复,当然大家不知道这个漏洞也许存在并被利用很久了,前面说过了,只是浮出水面的一角。
14:25分的时候我收到一封来自这里姑且称之为“L”的邮件,提供给了我漏洞详情,称漏洞快被修复了让我拿来研究一下,看完之后真是娇躯一震。
邮件内容只有一句话:site:http://login.taobao.com inurl:login_by_safe, about wy. L
但是就是这样一句话,想必就是白/黑帽子梦寐以求的东西,现在漏洞已经Fix,当然这篇文章全文都是我编的,不用太在意。
后面就好办了,于是我们进行的简单的GoogleHack:
https://login.taobao.com/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=
上面就是结果页的URL,写到这里我有点儿编不下去了,便把user_num_id的值打了星星符号,这个漏洞是这样的,搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户,再从淘宝可以跳到支付宝,当然不需要登录。
于是后面我又把这个URL进行了“分解”:
https://login.taobao.com/member/login_by_safe.htm?
sub=
&guf=
&c_is_scure=
&from=tbTop
&type=1
&style=default
&minipara=
&css_style=
&tpl_redirect_url=
&popid=
&callback=jsonp97
&is_ignore=
&trust_alipay=
&full_redirect=
&user_num_id=*********
&need_sign=
&from_encoding=%810%851_duplite_str=
&sign=&ll=
后来又对比了几个,发现其中不同的仅是callback与user_num_id,callback不用理睬,也就是我们可以通过遍历user_num_id便能登陆任意账户。
其实一旦支付宝账户像这样的方式泄露,用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏,哎,这事又怪不得用户。不过阿里这次能给国内网民提个醒,注意注意安全!当然有好多朋友提出这样的疑问:“他又不知道我的转账密码,所以还是没问题啊,一点儿表示不担心”。像遇到这种人只能笑而不语,其实支付宝是有个小额免密的功能的,那么大数据用户面前来几百万个小额免密的用户,黑产小伙们就笑了。
哦,对了,不知道黑产小哥们玩了多久这个漏洞了。
类似的漏洞有没有?
下午redrain(信息安全爱好者)和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞,但没有今天如此严重,还好留下两张历史图片:
其实这种漏洞在某些地方还是蛮多的,如果你认为所有漏洞都会披露到互联网水面上,那就太天真了。
支付安全中另外一种很常见的攻击手法就是钓鱼了,这种钓鱼普遍发生在高档咖啡厅,黑客采用定点攻击,搭建WIFI热点让其用户连接监听用户所有流量包进行劫持,这两天会发表一篇关于DNS劫持的文章,他们之间有异曲同工之妙的联系。
官方表态
16:40分时,淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币:
甲方公司这样的态度令人称赞,让我们共同呼吁铸造安全互联网!
最终结论
说到底,用户怎么样才能保证自己的支付安全?
1、开启短信验证码支付
2、手机支付的话开启手势支付
3、绑定数字证书
4、不链接陌生的Wifi
5、使用复杂密码(重要网站使用独立密码)
6、没有必要的话手机不要越狱或者Root
7、...
安全是一个整体,单线安全注定不安全,这就需要服务商与我们共同的安全意识。
对了,刚刚“L”发给了我一张图:
乌云于 2014 年 02 月 17 日爆出支付宝登陆漏洞,该漏洞会对用户余额宝产生怎么样的影响或者是危害?相关推荐
- 2014年在美国上市的中国企业名单(截止2014年10月17日)
2014年在美国上市的中国企业名单 2014年9月19日晚,阿里巴巴正式在纽交所挂牌上市,股票代码BABA,价格确定为每股68美元,其股票当天开盘价为92.7美元,较发行价大涨36.32%.由于阿里巴 ...
- 愿2014年02月14日,所有情人情人节快乐!
2014年2月14日星期五 情人节 愿: 所有情人情人节快乐! 1. 2008年,认识第1年. 2. 2009年,认识第2年,结婚第1年. 3. 2010年,认识第3年,结婚第2年,女儿出生第1年. ...
- 2014年3月17日 房价暴跌了吗
一小伙子取了上海媳妇,被迫买房,当天买了之后房价就打折8.8 郎教授说: 杭州北海公园,每平米降价3000元,天鸿香榭里,降价6000元 江苏常州,雅居乐星河湾打了6折,由12000降到7500 郎教 ...
- 2014年7月17日学习笔记--PHP的循环结构学习
今天重新开始学习PHP, 为了学习PHP买了书,但书是一本大部头的书,不好带一直没有好好学习,我决定把书拆了分章来看,这样也方便带 也可以很快完成任务. 今天在linux mint 17上安装了lnm ...
- 2014年02月16日
UBUNTU搭建HBASE 0.90.5,HADOOP0.20.2环境时报错如下: 2014-02-16 13:37:05,796 INFO org.apache.hadoop.ipc.HbaseRP ...
- 2014年9月17日
一首让人感觉热血沸腾的歌曲,号称与德国纳粹军歌--第一装甲师进行曲--同宗同源! 如果你也有这么一支训练有素的军队,你是不是也想踏平整个世界! <script type="text/j ...
- 4月17日 (PS:由于时间问题,现在才发,望老师见谅)疯狂猜成语-----第三次站立会议 参会人员:杨霏,袁雪,胡潇丹,郭林林,尹亚男,赵静娜...
疯狂猜成语-----第三次站立会议 参会人员:杨霏,袁雪,胡潇丹,郭林林,尹亚男,赵静娜 会议内容: 组员依次汇报自己的工作进度,并且提出自己在进行任务的过程中遇到的问题,是否解决以及解决办法. 以下 ...
- 2014年2月7日-2月17日,(36小时,剩4646)
2月7日,8小时. 上午:3小时(DX11),感觉确实代码需要重构,中午2小时,(12:00--14:00OSGEARTH视频教程第二讲MFC+OSG框架和第三讲,VPB)晚上3小时20:00-23: ...
- 时间:2014年3月27日20:08:01网站建表实战与优化意识
建表: SNS社交网站: 会员表:member Mysql中没有布尔型,相当于tinyint类型 false 就是0 其他都是true 大小 字节 列名称 列类型 默认值 是否主键 4 编号id in ...
最新文章
- 兴趣点推荐代码_推荐系统模型阿里用户兴趣模型(附完整代码)
- 一文总结微软研究院Transformer霸榜模型三部曲!
- c++在调用类的时候不一定非得实例化对象哦,有时候你不写系统会为你默认生成一个临时实例对象哦~
- [BX] 和 loop 指令---汇编学习笔记
- 新开通博客园,纪念一下。
- OpenCV辅助对象(help objects)(5)_DataType
- 标识符的命名规定java 0126
- 阿里春招Android面经
- HBase集成(准备篇)
- 数据库习题(填空题二)
- java访问kudu,KUDU的java操作
- 查看APK文件源代码
- 关于两种运行sh的方式: ./myscript.ksh and . ./myscript.ksh
- 最大公约数是啥意思_最大公约数是什么意思
- [转]一个中高级PHP工程师所应该具备的能力
- MATLAB中minDiff,findpeaks,diff, intersect等函数详解
- Flutter键盘弹出造成布局异常解决
- 微信读书十块钱一个月?分分钟搞定它!“白嫖”才是最香的!
- SQL中可以用来算时间差的函数
- 草根微信营销的案例剖析
热门文章
- java md5加密 jar包_BeanShell调用自己写的jar包进行MD5加密
- python爬取收费漫画_Python爬虫,爬取腾讯漫画实战
- 中国制造2025与工业以太网
- python随笔01(robotframework自动化)
- 什么是“use strict”,好处和坏处
- KMP算法-严蔚敏数据结构
- 2014.05.14小项目----漫天彩星
- Python+Appium+unittest demo
- pandas获得指定行_pandas取dataframe特定行/列
- Java8新特性JDK8之joining函数