最新消息:

支付宝/淘宝帐号无需密码登录任意帐号,随意查看用户资料/交易记录/转账洗钱

业界新闻 admin 2307浏览 0评论

Evi1m0,来自知道创宇,邪红色信息安全组织创始人

知乎用户、刘筱羽、Daniel 等人赞同

今 天(2014年2月17日)下午,互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝(我的余额宝撒)》的漏洞一炮打 响,一时间各BBS、微博、微信、QQ群展开火热的讨论,很多人表示关心自己支付宝是否安全?有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。

首先回答大家最关心的问题,网络支付还安全吗?

当 然今天所看到的只是某个漏洞提前曝光在了大家眼前,至于支付是否安全,我觉得这得需要服务提供商(公司)和用户共同来铸造,单方面安全总是不行的。密码全 部是弱口令、123456、iloveyou123、qq123123的账户,你怎么样守护他的安全?系统打好补丁,别上小网站下载乱七八糟的应用,先保 证自己电脑以及安全意识没有那么低下,剩下的安全就交给服务提供商来做吧!好在近几年国内厂商安全意识有所提高。

这个问题只是网络安全漏洞世界中的冰山一角,为什么大家会那么关心这个问题,好多朋友甚至私信、短信我问这个问题?

其实说起来也很简单,因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天,你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的,比如他的论坛密码泄露?通知他说:“你某论坛密码泄露了,修改一下吧”他会很无所谓的告诉你:“泄露就泄露吧,反正没多大事,实在不行重新注册一个”

爱财之心,人皆有之。这个漏洞引发了不少人的恐慌,好在我支付宝没绑定银行卡,余额宝更是没有钱,索性好好的分析一下这个漏洞的详细情况。

漏洞详情?威胁究竟如何?

2014-02-17下午14:20 Wooyun平台上爆出这个漏洞,截止到16:00已经修复,当然大家不知道这个漏洞也许存在并被利用很久了,前面说过了,只是浮出水面的一角。

14:25分的时候我收到一封来自这里姑且称之为“L”的邮件,提供给了我漏洞详情,称漏洞快被修复了让我拿来研究一下,看完之后真是娇躯一震。

“L”的邮件

邮件内容只有一句话:

site:http://login.taobao.com inurl:login_by_safe, about wy. L

但是就是这样一句话,想必就是白/黑帽子梦寐以求的东西,现在漏洞已经Fix,当然这篇文章全文都是我编的,不用太在意。

后面就好办了,于是我们进行的简单的GoogleHack:

GoogleHack:site:http://login.taobao.com inurl:login_by_safe

https://login.taobao.com/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=

上面就是结果页的URL,写到这里我有点儿编不下去了,便把user_num_id的值打了星星符号,这个漏洞是这样的,搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户,再从淘宝可以跳到支付宝,当然不需要登录。

点击进去之后会自动进入对方的淘宝账户,再从淘宝可以跳到支付宝,当然不需要登录

于是后面我又把这个URL进行了“分解”:

https://login.taobao.com/member/login_by_safe.htm?
sub=
&guf=
&c_is_scure=
&from=tbTop
&type=1
&style=default
&minipara=
&css_style=
&tpl_redirect_url=
&popid=
&callback=jsonp97
&is_ignore=
&trust_alipay=
&full_redirect=
&user_num_id=*********
&need_sign=
&from_encoding=%810%851_duplite_str=
&sign=&ll=

后来又对比了几个,发现其中不同的仅是callback与user_num_id,callback不用理睬,也就是我们可以通过遍历user_num_id便能登陆任意账户。

支付宝账户:可以通过遍历user_num_id便能登陆任意账户

其实一旦支付宝账户像这样的方式泄露,用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏,哎,这事又怪不得用户。不过阿里这次能给国内网民提个醒,注意注意安全!当然有好多朋友提出这样的疑问:“他又不知道我的转账密码,所以还是没问题啊,一点儿表示不担心”。像遇到这种人只能笑而不语,其实支付宝是有个小额免密的功能的,那么大数据用户面前来几百万个小额免密的用户,黑产小伙们就笑了。

哦,对了,不知道黑产小哥们玩了多久这个漏洞了。

类似的漏洞有没有?

下午redrain(信息安全爱好者)和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞,但没有今天如此严重,还好留下两张历史图片:

两张历史图片

两张历史图片

其实这种漏洞在某些地方还是蛮多的,如果你认为所有漏洞都会披露到互联网水面上,那就太天真了

支付安全中另外一种很常见的攻击手法就是钓鱼了,这种钓鱼普遍发生在高档咖啡厅,黑客采用定点攻击,搭建WIFI热点让其用户连接监听用户所有流量包进行劫持,这两天会发表一篇关于DNS劫持的文章,他们之间有异曲同工之妙的联系。

官方表态

16:40分时,淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币:

淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币

甲方公司这样的态度令人称赞,让我们共同呼吁铸造安全互联网!

最终结论

说到底,用户怎么样才能保证自己的支付安全?

1、开启短信验证码支付

2、手机支付的话开启手势支付

3、绑定数字证书

4、不链接陌生的Wifi

5、使用复杂密码(重要网站使用独立密码)

6、没有必要的话手机不要越狱或者Root

7、…

安全是一个整体,单线安全注定不安全,这就需要服务商与我们共同的安全意识。

对了,刚刚“L”发给了我一张图:

账户余额:145617.21元,余额宝:212250.61元

小伙伴们的各种吐槽:

知乎用户,程序员 贷款算法 数据库 Oracle DB2 SyBa…

tinyhill、TurboV10、jean huang 等人赞同

不担心。

没有任何一款产品是绝对安全的。包括各个银行的网银,各种支付系统。五角大楼都可以被攻破,何况是淘宝?

关键问题是:

1:攻击者要付出什么样的攻击代价。

2:出了问题以后,服务商如何解决。

出了问题不逃避,而且认真解决就是可以放心的。

昨天 19:02 7 条评论

刘拒拒,珍惜这份来之不易

知乎用户、高鑫、刘闽晟 等人赞同

我的三十块钱可要赶快取出来!

昨天 20:34 1 条评论

匿名用户

可可mars、高鑫、van E 赞同

呵呵,有多少用户跟我一样是“被”小额免密的?

08:21

知乎用户,懂点dev会点ops加点sec

王晗、马宏菩 赞同

担心信息泄露吧,至于钱是转不走的

昨天 15:29 3 条评论

吃屎不忘拉屎人,在中国,活着就是修行!

知乎用户 赞同

我 觉得怎么可能没有转钱走的,淘宝撒谎了,如果我是做黑产的,得到这个漏洞,首先,写一个脚本,遍历uid并且获取余额,入库,排序,把余额高的排在前面, 降序排列,既然能进账户,那就差支付密码,有动态验证和手机的直接跳过,支付宝转账到支付宝只需要支付密码,进入账户,能看到邮箱啊,用户名,手机什么 的,大数据时代数据库一下,三次机会还是有很多中招的。

08:13 4 条评论

小书人

对于问题及时改正,并坦诚相待的态度令顾客安心。

只是对于我这样的小人物来说技术的威力真令人勃起,奋斗。

昨天 21:54

匿名用户

不担心,电脑没有数字证书,自己有支付密码也没法买东西,每次重装系统都要短信验证一下。小额免密是要账号达到一定安全级别才支持的。不要人云亦云。在心中YY如何如何。人家都说了这次是泄露用户信息的漏洞。

09:02

知乎用户,alert(‘XSS’)

没有绝对的安全。

09:17

zhishen lu,null

敢用我们就敢赔————–这是态度。

09:34

庄少鹏,诚实守信,与人为善!

支持支付宝态度。细节也很精彩,good!!!

昨天 22:48

乌云基友们吐槽:

微博讨论

1#

小胖子 (在中国,活着就是修行。) | 2014-02-17 15:01

没有职业道德啊。

2#

园长 (你在身边就是缘,缘分写在数据库里面。) | 2014-02-17 15:13

@小胖子 逼小胖子为C

3#

黑色的屌丝 | 2014-02-17 15:27

我的支付宝都没有钱

4#

冷静 (黑客大黑客超级黑客黑客王,这就是我的梦想。。。。。) | 2014-02-17 15:41

现在还可以吗

5#

中国公民 (恩?) | 2014-02-17 15:57

微博上这个 互联网那点事 是谁啊? 好像很屌。

6#

雨 路 (卡牌大师刘谦、大发明家爱迪生、首领之傲金三胖、不祥之刃小彩旗、探险家贝尔格里尔斯、复仇燃魂邱少云、死亡颂唱者龚琳娜、爆破鬼才董存瑞、法外狂徒周 克华、武器大师马加爵、机械先驱乔布斯、荆棘之兴袁隆平、黑暗之女林妙可、无极剑圣药家鑫、寡妇制造者陈冠希、深渊巨口姚晨、迅捷斥候郭敬明等117名英 雄都觉得很赞!) | 2014-02-17 16:41

还好支付宝都没钱

7#

f4tb0y (隆) | 2014-02-17 16:50

支付宝同没钱的路过

8#

乌云 | 2014-02-17 16:58

感觉上,像是炒作?

9#

MeirLin (www.5D87.com) | 2014-02-17 17:01

@乌云 谁对此受益?

10#

永久VIP (我注册了一个账号,但他变成了VIP!) | 2014-02-17 17:01

什么是支付宝?

11#

乌云 | 2014-02-17 17:02

@MeirLin 发布者啊,,粉丝又多了N+

12#

MeirLin (www.5D87.com) | 2014-02-17 17:07

@乌云 为嘛我感觉腾讯的“理财通”因此收益了呢? 他们有直接竞争关系呀 淘宝爆如此严重的漏洞,再加上各方媒体大肆炒作,名誉肯定受损失~

13#

丁崽 | 2014-02-17 17:15

搞 双方黑客使劲搞

14#

奎尼 (>///<“‘) | 2014-02-17 17:28

写个脚本批量拖用户数据?

15#

霸气帝王攻 | 2014-02-17 17:31

疼讯安排员工做淘宝的测试???

16#

TellYouThat | 2014-02-17 17:37

补个链接 另外求乌云漏洞链接

17#

乌云 | 2014-02-17 17:47

@TellYouThat 那玩意是12年的了,纯粹是为了吸引眼球的

18#

无敌L.t.H (:‮门安天京北爱我Ѿ) | 2014-02-17 18:01

zfbzh@xiaomi.com

先试试这个,看雷布斯赚了多少黑心钱。

19#

豆芽 (不忘初心,方得始终,想想当初来乌云是为了什么) | 2014-02-17 19:02

@无敌L.t.H +1

20#

龙辰 (头像我女神) | 2014-02-17 19:42

那么牛逼。

21#

乌云 | 2014-02-17 20:53

@xsser @Finger @园长 求公开!好奇的不得了!!!

22#

斯文的鸡蛋 (顿时我就傻逼了) | 2014-02-17 21:02

当内行遇到娱乐圈,呵呵

23#

最热微博 (我的钢笔是黑的!) | 2014-02-17 21:14

奖励发现者 rmb5万

24#

园长 (你在身边就是缘,缘分写在数据库里面。) | 2014-02-17 22:11

@乌云 http://www.zhihu.com/question/22769152

25#

高斯 | 2014-02-17 23:02

大数据!!

26#

jeary ((:‮?办么怎,了多越来越法方象抽的我)) | 2014-02-17 23:30

@园长 怎么感觉这漏洞有点奇葩,比之前QQ的key还奇葩,别人至少还有失效时间..

说不定有人已经遍历出了所有数据?坐等裤子浮出水面..

27#

小胖子 (在中国,活着就是修行。) | 2014-02-17 23:35

@园长 我 觉得怎么可能没有转钱走的,淘宝撒谎了,如果我是做黑产的,得到这个漏洞,首先,写一个脚本,遍历uid并且获取余额,入库,排序,把余额高的排在前面, 降序排列,既然能进账户,那就差支付密码,有动态验证和手机的直接跳过,支付宝转账到支付宝只需要支付密码,进入相互,邮箱啊 ,用户名,大数据时代数据库一下,三次机会还是有很多中招的。

28#

倒霉熊 (谁知女人心,园长卫生巾。) | 2014-02-17 23:51

@小胖子 你不做嘿产太可惜了~!~

29#

saber (终极屌丝之路~) | 2014-02-18 01:44

@倒霉熊 其实他就是黑产牛!

30#

小胖子 (在中国,活着就是修行。) | 2014-02-18 08:12

@saber 那我就呵呵思密达了。

31#

Vigoss_Z | 2014-02-18 08:48

@小胖子 小额免密,遍历个3、5百万个,一个一块。

太邪恶了太邪恶了

32#

小乐天 (小白一枚) | 2014-02-18 09:11

肯定有人这么干了,还好没钱

33#

z7y (谁知女人心,园长卫生巾。) | 2014-02-18 09:18

@小胖子 膜拜小胖子狗嘿铲牛!!么么哒。。。。。哈哈哈哈哈哈

34#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-02-18 09:26

。。。。。。

35#

国士无双 (我来找快乐。) | 2014-02-18 09:32

嘿铲牛!

资料摘自:

乌云于 2014 年 02 月 17 日爆出支付宝登陆漏洞,该漏洞会对用户余额宝产生怎么样的影响或者是危害?

淘宝认证缺陷可登录任意淘宝账号及支付宝(我的余额宝撒)

知道支付宝/淘宝帐号可登录任意帐号

转载请注明:jinglingshu的博客 » 支付宝/淘宝帐号无需密码登录任意帐号,随意查看用户资料/交易记录/转账洗钱


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址