垃圾苏宁，发票漏洞

https://einvoicelink.51fapiao.cn:8181/FPFX/actions/ [ 45 哈希]

没有任何认证措施，可以下载任何人的发票

直接通过一个 hash 值就能下载，不怕别人穷举？

scriptB0y

2017-10-16 12:03:41 +08:00

45 位 hash 可能的数量有 10804695562359870518299193703899148848724015728610899282651377959960576L 种可能吧。

存放 100 万张发票，每次能碰对一张的概率是 100 / (36 ** 45) = 9.255235320869961e-65

如果上面这样算没错的话，感觉比密码强的多。

eccstartup

2017-10-16 12:04:46 +08:00

没觉得比密码强，尤其是有人知道了链接之后

scriptB0y

2017-10-16 12:09:57 +08:00

什么叫有人知道了链接之后？

密码不也是用户名+密码的字符串吗？这个长度不是比 hash 长度小的多？

wingcol

2017-10-16 12:12:12 +08:00

@eccstartup 一般帐号+密码也就 30 位左右, 比这个弱多了

wingoo

2017-10-16 12:17:43 +08:00

51fapiao 应该是提供开取 /读取发票接口的公司
看了下典型客户
京东, 苏宁, 阿里, 百度, 亚马逊, 国美,中移动....

xmcp

2017-10-16 12:26:38 +08:00

按你这么说 RSA 还有漏洞呢。
16^45 比你想像中的要大，少年。

laoyur

2017-10-16 12:34:45 +08:00

https + 45 位 hash，对于一个对公共服务的发票接口，没毛病

laoyur

2017-10-16 12:37:10 +08:00

补一句，别提穷举，防穷举跟 https + 45 位 hash 本身没有关系
楼主你要是挑刺的话，先去单 ip 穷举 10w 次，如果没把你封掉，再来喷不迟

moult

2017-10-16 12:37:58 +08:00

楼主要是这都能随便输一个就能命中，那就去买彩票把，彩票的数字短多了。

trydie

2017-10-16 12:53:21 +08:00

哈希前是什么内容？自增 int 吗？

scriptB0y

2017-10-16 13:27:59 +08:00

google 很多产品 forms，drive 分享等都可以用“知道链接就可以编辑”这种原则。

yuanfnadi

2017-10-16 13:32:23 +08:00

能命中的概率比中彩票还小。

sobigfish

2017-10-16 14:14:05 +08:00

这个就算是锅也是 51fapiao 的锅-。-

belin520

2017-10-16 14:21:47 +08:00

哈哈哈，大家不要这样，楼主等下不敢回复了
确实安全性还是可以的。

xfspace

2017-10-16 14:24:12 +08:00

发票已经开出了。。。税务信息又不能改。。。如果开的个人发票也就看到姓名

ryannnnn

2017-10-16 15:03:00 +08:00

非得再让你注册个 51fp 的账号你就满意了是吧？

shmilypeter

2017-10-16 15:29:35 +08:00

那还真不是苏宁的锅，国内目前在推电子发票，这个是 51fapiao 的。你看看 12306 做得什么样就知道这个平台怎么样了。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/397961

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.