+ 首页>>快读>>内容

快读[知乎精选] 余额宝安全吗?淘宝账户认证爆安全漏洞500+次围观

[知乎精选] 余额宝安全吗?淘宝账户认证爆安全漏洞
2014年2月17日,一则乌云漏洞引起了广大网友的”震惊”。余额宝安全吗?随后有知乎网友做了技术性解答,我们来看一下全文:

今天(2014年2月17日)下午,互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝(我的余额宝撒)》的漏洞一炮打响,一时间各BBS、微博、微信、QQ群展开火热的讨论,很多人表示关心自己支付宝是否安全?有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。

首先回答大家最关心的问题,网络支付还安全吗?

当然今天所看到的只是某个漏洞提前曝光在了大家眼前,至于支付是否安全,我觉得这得需要服务提供商(公司)和用户共同来铸造,单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户,你怎么样守护他的安全?系统打好补丁,别上小网站下载乱七八糟的应用,先保证自己电脑以及安全意识没有那么低下,剩下的安全就交给服务提供商来做吧!好在近几年国内厂商安全意识有所提高。

这个问题只是网络安全漏洞世界中的冰山一角,为什么大家会那么关心这个问题,好多朋友甚至私信、短信我问这个问题?

其实说起来也很简单,因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天,你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的,比如他的论坛密码泄露?通知他说:“你某论坛密码泄露了,修改一下吧”他会很无所谓的告诉你:“泄露就泄露吧,反正没多大事,实在不行重新注册一个”

爱财之心,人皆有之。这个漏洞引发了不少人的恐慌,好在我支付宝没绑定银行卡,余额宝更是没有钱,索性好好的分析一下这个漏洞的详细情况。

漏洞详情?威胁究竟如何?

2014-02-17下午14:20 Wooyun平台上爆出这个漏洞,截止到16:00已经修复,当然大家不知道这个漏洞也许存在并被利用很久了,前面说过了,只是浮出水面的一角。
14:25分的时候我收到一封来自这里姑且称之为“L”的邮件,提供给了我漏洞详情,称漏洞快被修复了让我拿来研究一下,看完之后真是娇躯一震。

[知乎精选] 余额宝安全吗?淘宝账户认证爆安全漏洞

邮件内容

邮件内容只有一句话:site:http://login.taobao.com inurl:login_by_safe, about wy. L
但是就是这样一句话,想必就是白/黑帽子梦寐以求的东西,现在漏洞已经Fix,当然这篇文章全文都是我编的,不用太在意。

后面就好办了,于是我们进行的简单的GoogleHack:

[知乎精选] 余额宝安全吗?淘宝账户认证爆安全漏洞

GoogleHack

https://login.taobao.com/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=

上面就是结果页的URL,写到这里我有点儿编不下去了,便把user_num_id的值打了星星符号,这个漏洞是这样的,搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户,再从淘宝可以跳到支付宝,当然不需要登录。

[知乎精选] 余额宝安全吗?淘宝账户认证爆安全漏洞

可任意登陆

于是后面我又把这个URL进行了“分解”:

https://login.taobao.com/member/login_by_safe.htm?
sub=
&guf=
&c_is_scure=
&from=tbTop
&type=1
&style=default
&minipara=
&css_style=
&tpl_redirect_url=
&popid=
&callback=jsonp97
&is_ignore=
&trust_alipay=
&full_redirect=
&user_num_id=*********
&need_sign=
&from_encoding=%810%851_duplite_str=
&sign=&ll=

后来又对比了几个,发现其中不同的仅是callback与user_num_id,callback不用理睬,也就是我们可以通过遍历user_num_id便能登陆任意账户。

[知乎精选] 余额宝安全吗?淘宝账户认证爆安全漏洞

账户信息

其实一旦支付宝账户像这样的方式泄露,用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏,哎,这事又怪不得用户。不过阿里这次能给国内网民提个醒,注意注意安全!当然有好多朋友提出这样的疑问:“他又不知道我的转账密码,所以还是没问题啊,一点儿表示不担心”。像遇到这种人只能笑而不语,其实支付宝是有个小额免密的功能的,那么大数据用户面前来几百万个小额免密的用户,黑产小伙们就笑了。

哦,对了,不知道黑产小哥们玩了多久这个漏洞了。

类似的漏洞有没有?

下午redrain(信息安全爱好者)和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞,但没有今天如此严重,还好留下两张历史图片:

[知乎精选] 余额宝安全吗?淘宝账户认证爆安全漏洞

支付宝漏洞

[知乎精选] 余额宝安全吗?淘宝账户认证爆安全漏洞

支付宝漏洞 二

其实这种漏洞在某些地方还是蛮多的,如果你认为所有漏洞都会披露到互联网水面上,那就太天真了。

支付安全中另外一种很常见的攻击手法就是钓鱼了,这种钓鱼普遍发生在高档咖啡厅,黑客采用定点攻击,搭建WIFI热点让其用户连接监听用户所有流量包进行劫持,这两天会发表一篇关于DNS劫持的文章,他们之间有异曲同工之妙的联系。

官方表态

16:40分时,淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币:

[知乎精选] 余额宝安全吗?淘宝账户认证爆安全漏洞

重金奖励

甲方公司这样的态度令人称赞,让我们共同呼吁铸造安全互联网!

最终结论

说到底,用户怎么样才能保证自己的支付安全?

  • 1、开启短信验证码支付
  • 2、手机支付的话开启手势支付
  • 3、绑定数字证书
  • 4、不链接陌生的Wifi
  • 5、使用复杂密码(重要网站使用独立密码)
  • 6、没有必要的话手机不要越狱或者Root
  • 7、…

安全是一个整体,单线安全注定不安全,这就需要服务商与我们共同的安全意识。

+ 猜你喜欢...

===== 关于 DiggerPlus =====
DiggerPlus是国内新锐测试人垂直内容博客,专注于挖掘测试工具,普及测试技术,专注于测试人能力提升,博客上线后就受到广大测试人的热烈追捧;此外,DiggerPlus深度整合评测资源,揭秘科技数据和真相,让读者更懂科技,更好地把玩科技。 我们始终保持"独立,客观,严谨,优秀"的优良作风,努力为读者带来源源不断的优质内容。想访问更多酷毙的测试人网站?赶紧来DiggerPlus测试人网址导航看看吧!

===== DiggerPlus Team =====
DiggerPlus Team是DiggerPlus官方发起的团队,这是一群热爱科技,热爱测试,喜欢深度挖掘的热血测试人,他们是评测师,测试专家。 我们欢迎优秀的测试人加入DiggerPlus Team。 加入DiggerPlus,可以成为我们的认证Dper,认证Dper拥有DiggerPlus独一无二的专栏并得到个人展示。

===== DiggerPlus 官方读者群 =====
DiggerPlus官方读者群(一)

+ 关于本文作者

Python/C/C++/Javascript程序员,持续学习者,目前专注于前端开发。

的专栏 | 专栏作者 | 访问小A的主页

+ 发表评论

Copyright © 2014 DiggerPlus. 92 queries in 1.626 seconds.
使用合作网站账号快速登录,更多精彩等着您: 开源中国