风险警告:支付宝流程设计存在安全缺陷,会导致跨域攻击,咸鱼/淘宝交易慎扫不明二维码
Cat7373 · 2023-05-06 08:19:37 +08:00 · 4687 次点击这是一个创建于 569 天前的主题,其中的信息可能已经有所发展或是发生改变。
受害者链接: https://zhuanlan.zhihu.com/p/625230704
复现视频: https://drive.google.com/file/d/1EiWOBWf6Uo3qp7eoKIVGGNUz8YhLbQQT/view?usp=share_link
来自网友的问题分析:
在官方修复前(距问题发现已一周多),目前能想到的缓解措施如下:
- 避免扫难以确认安全性的二维码,尤其是在网购交易过程中
- 关闭人脸支付,避免扫到问题二维码后,无交互式的直接确认了
- 关闭小额免密支付
 |
1
jucelin 2023-05-06 09:03:32 +08:00  1
|
 |
2
bGl2aWRubXNs 2023-05-06 09:15:22 +08:00
太可怕了
|
 |
3
linauror 2023-05-06 09:31:23 +08:00
最重要的还是不要点开或扫描别人发来的任何链接、图片
|
 |
4
SelectLanguages 2023-05-06 09:32:42 +08:00
由此引出另一个话题“这应该算通过支付宝漏洞偷钱吧?支付宝应该会赔付的。”支付宝对此需要负责吗?
另外提一嘴,现在收货无论是否咸鱼,淘宝,京东,都不需要输入密码了,在流程没问题的情况下这是安全的。 |
 |
5
Ritter 2023-05-06 09:50:52 +08:00
这算是 csrf 么
|
 |
6
LiuJiang 2023-05-06 10:07:02 +08:00
这不得申请支付宝赔偿,hhhh ,牛批,设计缺陷
|
 |
7
banliyaya 2023-05-06 10:15:08 +08:00
@SelectLanguages ios 淘宝我记得确认收货是需要过 faceid 的,如果我没有设置 faceid 支付,应该就是要输入密码
|
 |
9
woshipanghu 2023-05-06 11:39:42 +08:00
程序的逻辑也存在一定的问题,订单号对应的金额和支付的金额不一样 怎么就随便能返回到前端去了
|
 |
10
bigtan 2023-05-06 12:11:09 +08:00
蹲一个后续 这应该算是支付宝的严重漏洞了
|
|
11
SelectLanguages 2023-05-06 13:10:19 +08:00
@banliyaya 并不需要,你可以尝试一下最新版淘宝 10.23.20(ios 版),刚才试了下,点击收货就行了,不需要密码 or 人脸。
|
 |
12
autoxbc 2023-05-06 14:08:34 +08:00
这视频录的也是醉了,360P 这谁能看清
|
 |
13
boboliu 2023-05-06 14:17:44 +08:00 2
|
 |
14
pkoukk 2023-05-06 14:53:32 +08:00 2
很多人没有看懂是什么意思,是这样的:
你扫了码,页面上写着 1 分钱保价 你点击了支付,弹出支付宝组件,输入密码确认 实际发生的: 你点击支付,骗子的网站用 JSB 调用确认收货接口,支付宝弹出组件,需要密码验证,你输入密码验证 实际上你根本没有被扣 1 分钱或者 1 块钱,钱只是用来麻痹你,让你觉得输入密码是正常行为的操作 你输入的密码,实际上是确认收货用的 |
Select Language