V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Cat7373
V2EX  ›  分享发现

风险警告:支付宝流程设计存在安全缺陷,会导致跨域攻击,咸鱼/淘宝交易慎扫不明二维码

  •  4
     
  •   Cat7373 · 328 天前 · 4506 次点击
    这是一个创建于 328 天前的主题,其中的信息可能已经有所发展或是发生改变。

    受害者链接: https://zhuanlan.zhihu.com/p/625230704

    复现视频: https://drive.google.com/file/d/1EiWOBWf6Uo3qp7eoKIVGGNUz8YhLbQQT/view?usp=share_link

    来自网友的问题分析:

    在官方修复前(距问题发现已一周多),目前能想到的缓解措施如下:

    1. 避免扫难以确认安全性的二维码,尤其是在网购交易过程中
    2. 关闭人脸支付,避免扫到问题二维码后,无交互式的直接确认了
    3. 关闭小额免密支付
    15 条回复    2023-05-06 14:56:41 +08:00
    jucelin
        1
    jucelin  
       328 天前   ❤️ 1
    bGl2aWRubXNs
        2
    bGl2aWRubXNs  
       328 天前
    太可怕了
    linauror
        3
    linauror  
       328 天前
    最重要的还是不要点开或扫描别人发来的任何链接、图片
    SelectLanguages
        4
    SelectLanguages  
       328 天前
    由此引出另一个话题“这应该算通过支付宝漏洞偷钱吧?支付宝应该会赔付的。”支付宝对此需要负责吗?
    另外提一嘴,现在收货无论是否咸鱼,淘宝,京东,都不需要输入密码了,在流程没问题的情况下这是安全的。
    Ritter
        5
    Ritter  
       328 天前
    这算是 csrf 么
    LiuJiang
        6
    LiuJiang  
       328 天前
    这不得申请支付宝赔偿,hhhh ,牛批,设计缺陷
    banliyaya
        7
    banliyaya  
       328 天前
    @SelectLanguages ios 淘宝我记得确认收货是需要过 faceid 的,如果我没有设置 faceid 支付,应该就是要输入密码
    abelyao
        8
    abelyao  
       328 天前
    @banliyaya 现在不用了,我支付宝没设置面容,现在确认收货也没让输密码了
    woshipanghu
        9
    woshipanghu  
       328 天前
    程序的逻辑也存在一定的问题,订单号对应的金额和支付的金额不一样 怎么就随便能返回到前端去了
    bigtan
        10
    bigtan  
       328 天前
    蹲一个后续 这应该算是支付宝的严重漏洞了
    SelectLanguages
        11
    SelectLanguages  
       327 天前
    @banliyaya 并不需要,你可以尝试一下最新版淘宝 10.23.20(ios 版),刚才试了下,点击收货就行了,不需要密码 or 人脸。
    autoxbc
        12
    autoxbc  
       327 天前
    这视频录的也是醉了,360P 这谁能看清
    boboliu
        13
    boboliu  
       327 天前   ❤️ 2
    @autoxbc #12
    楼主转载的问题,原视频在 https://t.me/MyOutsider/263
    楼主截图的是 https://t.me/sohadays/4782
    pkoukk
        14
    pkoukk  
       327 天前   ❤️ 2
    很多人没有看懂是什么意思,是这样的:
    你扫了码,页面上写着 1 分钱保价
    你点击了支付,弹出支付宝组件,输入密码确认
    实际发生的:
    你点击支付,骗子的网站用 JSB 调用确认收货接口,支付宝弹出组件,需要密码验证,你输入密码验证

    实际上你根本没有被扣 1 分钱或者 1 块钱,钱只是用来麻痹你,让你觉得输入密码是正常行为的操作
    你输入的密码,实际上是确认收货用的
    brader
        15
    brader  
       327 天前
    @pkoukk 正解,我也是刚刚突然理解过来了,页面表现就是用支付行为掩盖确认收货行为。 这就是为什么片子要自己做一个假网页的原因
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3548 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:52 · PVG 12:52 · LAX 21:52 · JFK 00:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.