1
tyzandhr 2023-06-11 13:44:59 +08:00 via Android
向晚原来是快 30 岁的大妈了啊
|
2
Felldeadbird 2023-06-11 14:39:12 +08:00
这个应该不算漏洞吧?
只是利用了支付账号支付(免登录),直接输入(弱口令)支付密码完成支付。 |
3
xmumiffy 2023-06-11 14:50:48 +08:00 2
这是支付宝 SDK 的特性,和使用的发起端无关.只是说支付宝的风险模型允许小额情况下,三次以内密码尝试成功后直接支付
|
4
czfy 2023-06-11 15:59:12 +08:00 8
@tyzandhr 26 直接就快 30 ,30 直接成大妈
难怪国内程序员会有 35 岁危机,年龄歧视由公务员招聘带起,普通民众自己内化得挺乐呵 |
5
EdwardWong 2023-06-11 16:02:22 +08:00
支付宝所有正规商户 Web 端支付的时候也是默认使用账号 + 支付密码,只有被风控(大额,非常用环境)的情况下才会要求其他验证方式(反正钱最后还是在支付宝自己的系统里,要追回很容易吧)。(另:银行卡 cvv 只有三位,如果没有 3ds 理论风险可能更高?)
|
6
yanghanlin 2023-06-11 17:51:47 +08:00
看起来除了具体思路 3. 之外都算不上漏洞,整个流程就相当于偷到了银行卡(获取到支付宝账号)、猜出了银行卡密码(支付宝账号支付密码),并通过 ATM 机成功取款
|
7
wdv2ly 2023-06-11 21:47:11 +08:00 via Android
楼上都没仔细看内容吧?这个如果描述属实,相当于拿支付密码可以直接登录支付宝账号了,这还不是漏洞?
|
9
xmumiffy 2023-06-11 21:57:48 +08:00 1
|
10
MengiNo 2023-06-12 05:22:49 +08:00
恕我没看懂,支付宝不是十几年来一直都是这么运行的么,这也叫高危漏洞。可能就我手机没有支付宝这个 app 吧?我点瑞幸、点饿了么选支付宝从来都是跳 Safari 然后就是直接这样登录支付的,而且登录后会记录 cookie 一段时间内直接就是支付页面,只要点 “支付” 输入支付密码就能付钱。哪那么多麻烦事情,还要 b 站版本低于多少 balabala ,什么抓包之类的。
|
12
cxy2244186975 2023-12-02 06:00:47 +08:00 via iPhone
上次遇到这种问题还是在 16 年、支付宝 5k 余额内的双密鱼料 一百块钱一条、你问我 它们黑灰产怎么利用?
|