我们坚信只有今天付出了，才有机会看到明天的太阳！
现在！加入我们，给你一个气氛优秀的技术圈子
查看: 1660|回复: 13
社区更新Forums
随机图赏Gallery
HACK80渗透课程打包整理一键清理所有应用程序，不用工具给论坛编写了一个黑客记事本！一些个人收集的资料社工库查询工具1.1修改版福利 kali linux 全套 20G 黑客渗透burpsuit v1.4.07-破解版论坛新版IOS及Android客户端内测AAA短信轰炸机5.3破解版,一款目前比较给力的短信轰炸机!二期公开课第17节 - 数据库备份+突破
支付宝/淘宝帐号无需密码登录任意帐号，随意查看用户资料/交易记录/转账洗钱
查看: 1660|回复: 13
马上注册，加入HACK80！与我们一起交流。
才可以下载或查看，没有帐号？
今天（日）下午，互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝（我的余额宝撒）》的漏洞一炮打响，一时间各BBS、微博、微信、QQ群展开火热的讨论，很多人表示关心自己支付宝是否安全？有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。
首先回答大家最关心的问题，网络支付还安全吗？当然今天所看到的只是某个漏洞提前曝光在了大家眼前，至于支付是否安全，我觉得这得需要服务提供商（公司）和用户共同来铸造，单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户，你怎么样守护他的安全？系统打好补丁，别上小网站下载乱七八糟的应用，先保证自己电脑以及安全意识没有那么低下，剩下的安全就交给服务提供商来做吧！好在近几年国内厂商安全意识有所提高。这个问题只是网络安全漏洞世界中的冰山一角，为什么大家会那么关心这个问题，好多朋友甚至私信、短信我问这个问题？其实说起来也很简单，因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天，你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的，比如他的论坛密码泄露？通知他说：“你某论坛密码泄露了，修改一下吧”他会很无所谓的告诉你：“泄露就泄露吧，反正没多大事，实在不行重新注册一个”爱财之心，人皆有之。这个漏洞引发了不少人的恐慌，好在我支付宝没绑定银行卡，余额宝更是没有钱，索性好好的分析一下这个漏洞的详细情况。漏洞详情？威胁究竟如何？下午14:20 Wooyun平台上爆出这个漏洞，截止到16:00已经修复，当然大家不知道这个漏洞也许存在并被利用很久了，前面说过了，只是浮出水面的一角。14:25分的时候我收到一封来自这里姑且称之为“L”的邮件，提供给了我漏洞详情，称漏洞快被修复了让我拿来研究一下，看完之后真是娇躯一震。
52_25062.jpg (14.28 KB, 下载次数: 64)
00:05 上传
邮件内容只有一句话：site: inurl:login_by_safe, about wy. L但是就是这样一句话，想必就是白/黑帽子梦寐以求的东西，现在漏洞已经Fix，当然这篇文章全文都是我编的，不用太在意。后面就好办了，于是我们进行的简单的GoogleHack：
16_48817.jpg (72.33 KB, 下载次数: 56)
00:05 上传
https:///member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=上面就是结果页的URL，写到这里我有点儿编不下去了，便把user_num_id的值打了星星符号，这个漏洞是这样的，搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户，再从淘宝可以跳到支付宝，当然不需要登录。
48_58669.jpg (43.4 KB, 下载次数: 64)
00:05 上传
于是后面我又把这个URL进行了“分解”： https:///member/login_by_safe.htm? sub= &guf= &c_is_scure= &from=tbTop &type=1 &style=default &minipara= &css_style= &tpl_redirect_url= &popid= &callback=jsonp97 &is_ignore= &trust_alipay= &full_redirect= &user_num_id=********* &need_sign= &from_encoding=%<font color="#0%<font color="#0_duplite_str= &sign=&ll=后来又对比了几个，发现其中不同的仅是callback与user_num_id，callback不用理睬，也就是我们可以通过遍历user_num_id便能登陆任意账户。
29_50124.jpg (39.34 KB, 下载次数: 67)
00:05 上传
其实一旦支付宝账户像这样的方式泄露，用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏，哎，这事又怪不得用户。不过阿里这次能给国内网民提个醒，注意注意安全！当然有好多朋友提出这样的疑问：“他又不知道我的转账密码，所以还是没问题啊，一点儿表示不担心”。像遇到这种人只能笑而不语，其实支付宝是有个小额免密的功能的，那么大数据用户面前来几百万个小额免密的用户，黑产小伙们就笑了。哦，对了，不知道黑产小哥们玩了多久这个漏洞了。类似的漏洞有没有？下午redrain（信息安全爱好者）和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞，但没有今天如此严重，还好留下两张历史图片：
21_29583.jpg (52.64 KB, 下载次数: 64)
00:05 上传
22_71726.jpg (57.3 KB, 下载次数: 58)
00:05 上传
其实这种漏洞在某些地方还是蛮多的，如果你认为所有漏洞都会披露到互联网水面上，那就太天真了。支付安全中另外一种很常见的攻击手法就是钓鱼了，这种钓鱼普遍发生在高档咖啡厅，黑客采用定点攻击，搭建WIFI热点让其用户连接监听用户所有流量包进行劫持，这两天会发表一篇关于DNS劫持的文章，他们之间有异曲同工之妙的联系。官方表态16:40分时，淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币：
16_94405.jpg (67.18 KB, 下载次数: 66)
00:05 上传
甲方公司这样的态度令人称赞，让我们共同呼吁铸造安全互联网！最终结论说到底，用户怎么样才能保证自己的支付安全？1、开启短信验证码支付2、手机支付的话开启手势支付3、绑定数字证书4、不链接陌生的Wifi5、使用复杂密码（重要网站使用独立密码）6、没有必要的话手机不要越狱或者Root7、...安全是一个整体，单线安全注定不安全，这就需要服务商与我们共同的安全意识。对了，刚刚“L”发给了我一张图：
12_37355.jpg (23.9 KB, 下载次数: 59)
00:05 上传
小伙伴们的各种吐槽：知乎用户，程序员 贷款算法 数据库 Oracle DB2 SyBa…tinyhill、TurboV10、jean huang 等人赞同不担心。没有任何一款产品是绝对安全的。包括各个银行的网银，各种支付系统。五角大楼都可以被攻破，何况是淘宝？关键问题是：1：攻击者要付出什么样的攻击代价。2：出了问题以后，服务商如何解决。出了问题不逃避，而且认真解决就是可以放心的。昨天 19:02 7 条评论刘拒拒，珍惜这份来之不易知乎用户、高鑫、刘闽晟 等人赞同我的三十块钱可要赶快取出来！昨天 20:34 1 条评论匿名用户可可mars、高鑫、van E 赞同呵呵，有多少用户跟我一样是“被”小额免密的？08:21知乎用户，懂点dev会点ops加点sec王晗、马宏菩 赞同担心信息泄露吧，至于钱是转不走的昨天 15:29 3 条评论吃屎不忘拉屎人，在中国，活着就是修行！知乎用户 赞同我觉得怎么可能没有转钱走的，淘宝撒谎了，如果我是做黑产的，得到这个漏洞，首先，写一个脚本，遍历uid并且获取余额，入库，排序，把余额高的排在前面，降序排列，既然能进账户，那就差支付密码，有动态验证和手机的直接跳过，支付宝转账到支付宝只需要支付密码，进入账户，能看到邮箱啊，用户名，手机什么的，大数据时代数据库一下，三次机会还是有很多中招的。08:13 4 条评论小书人对于问题及时改正，并坦诚相待的态度令顾客安心。只是对于我这样的小人物来说技术的威力真令人勃起，奋斗。昨天 21:54匿名用户不担心，电脑没有数字证书，自己有支付密码也没法买东西，每次重装系统都要短信验证一下。小额免密是要账号达到一定安全级别才支持的。不要人云亦云。在心中YY如何如何。人家都说了这次是泄露用户信息的漏洞。09:02知乎用户，alert('XSS')没有绝对的安全。09:17zhishen lu，null敢用我们就敢赔--------------这是态度。09:34庄少鹏，诚实守信，与人为善！支持支付宝态度。细节也很精彩，good！！！昨天 22:48
width:100%">
高手发现第三方支付淘宝的漏洞，发现者受益匪浅。第三方支付最好不要和银行绑起来
width:100%">
有竞争才有进步嘛
width:100%">
width:100%">
看看看看看看
width:100%">
width:100%">
width:100%">
没用的，支付密码各种绑定，绑定证书，绑定手机。。只能楞看，转账的时候都惊呆了。。
width:100%">
看看。。。。。。。。。。。。。
width:100%">
支持一下，下面的保持队形！
width:100%">
Powered by Discuz! X3.1&&
充值99元即可成为正式会员！
现在成为正式会员即可享受：1、原创课程及工具资源下载 2、内部交流及讲师答疑服务 3、参与团队外包渗透测试项目　君，已阅读到文档的结尾了呢~~
www&#46;sucaidui&#46;com z &#46;
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
&#46;我的淘宝用户密码忘记了怎么办
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口千万不要开通支付宝花呗 亲述惊魂未定的淘宝账号被盗事件-江城生活-亿房论坛-亿房网
本帖最后由 兰兰妈 于
09:09 编辑
昨天晚上8点多，手机来了条短信说我的账号正在发生一笔交易，金额10块，手机验证码多少之类的，一看我就慌了，过了一分钟，又来条，这次金额就是3000多，吓得我赶快把网银上的钱转了，(转的时候手指都发抖)，我开了快捷支付，那张卡刚好有老公打来的4000，准备交幼儿园钱的。钱处理后马上打开支付宝钱包，有笔3000多的交易没付钱，马上给支付宝打电话，把支付宝账号监管了。 进淘宝手机版，看到这笔3000多的交易是拍的周大福的一个金饰，而且还是零首付(这零首付真坑啊，完全是方便盗号的，听说零首付要信用卡的，还好我快捷支付的不是信用卡，就不知道花呗能不能支付这个，)，收货人是广州一个姓高的，还留有电话和详细地址。这下我明白是旺旺被盗了，马上改了密码，也把各种安全设置了。我就奇怪了，平时都是苹果的手机和平板，公司的电脑登陆旺旺，怎么会被盗号。。。。。听说 IOS系统属于封闭式的，很安全，我公司电脑也没弄什么乱七八糟的东西，别人也不能用我的，为何会被盗号?而且后来我今天登陆公司的电脑，旺旺里的历史登陆记录什么都没有，网上搜了下，别人说唯一可能的是360，我的旺旺几年前也被盗过，那时候我都是在家里电脑登陆，家里的也装的360，当时还好有个好心的卖家发qq还是短信来提醒我。今天也把快捷支付关了，花呗关了，但据说快捷支付就像肿瘤一样，以后还会自己开通(只要在支付宝钱包上再支付)，我比较奇怪的是第一笔交易(10块那个)，在支付宝账单里居然没有。虽然做了这么多安全措施，还是惊魂未定，万一当时我手机正好也被盗。。。。。。。虽然什么都关了，还是担心再被盗，快捷支付很容易就开启了，现在还有零首付和花呗这种透支的支付方式，光是绑定一个手机号码觉得太不安全了，而且最近2 个月支付都没给我发验证短信，决定申请个新的未认证支付宝账户来绑定旺旺了，以前的支付宝账号过几天注销了考虑下，把盗号的人信息公开这里，强盗死全家后来，上网检查支付宝账号时，在“支付宝支付授权”里，发现了HUAWEI手机的登陆信息(图2)，我的手机是苹果，而且我一般都是用手机和PAD登陆支付宝，这个HUAWEI肯定是盗号的登陆的，不是说发验证码才能登陆吗，我手机好好的在我这呢，马云出来解释下
按理说，支付宝还是挺安全的呢。。楼主重新设置下淘宝账号密码，支付宝登陆密码，安全加密
楼主只是淘宝账号被盗了。处理的还算冷静哦
普及下知识吧，首先你只是淘宝账号被盗，付款需要支付宝密码，就算支付密码也被盗了，快捷支付也需要手机验证。并且不是常用地ip。还是很安全的。别自己吓自己。最好找到原因为什么淘宝号被盗。
不会啊，就是说有其它在另一台电脑上用你的帐号买东西用你的支付宝对吧；这样的话，同一帐号另一台电脑登陆是要发手机验证码的，还要对支付宝证书验证，只有一种可能，那个人把你手机SIM卡也复制了，而且截了应该发给你的短信验证；但。。。。就你帐户余额4000来说，高手是犯不着用这些手段的
现在不是要安 证书吗？手机不是要验证码吗？小额支付可以略验证码
快捷支付也要支付密码的啊
我前天晚上也是收到一条淘宝密码更改的，要求输验证码的短信，我还以为我办公室的笔记本遭偷了也，我平时也就笔记本电脑和手机登陆支付，把我吓惨了
看完这个赶紧检查自己的，好紧张，虽然支付宝从来不留余额！
看了后怕，应该如何规避呢？
我的支付宝都被盗过，比楼主还严重。起初10块10块的转，没有提醒，之后转108，验证码发我手机上了，之后打支付宝客服，说被盗了，但是补偿了被盗的金额。
您需要登录后才可以回贴我注册了淘宝号，可是登录要密码，没有密码怎么办_百度知道
我注册了淘宝号，可是登录要密码，没有密码怎么办
提问者采纳
可是没有密码
注册的时候会设置密码啊，你难道没有设置吗，如果是的话，应该就是没有申请成功，再重新申请一次吧
我注册之后提示叫登录，然后要密码，，没有密码
在注册的过程中一定会让你设置密码的，这是必然的
嗯嗯试试谢谢
你就再重新申请一次
提问者评价
太给力了，你的回答完美地解决了我的问题，非常感谢！
其他类似问题
为您推荐：
淘宝号的相关知识
其他11条回答
注册时填的密码
那不是手机验证码吗
注册也会填密码的啊，然后确认密码，最后才输入验证码
不是啊，我注册时直接叫写验证码
那就不知道了，找回密码吧
那你就没有注册上，注册上了就有设置登陆密码这一关
没有啊，我注册了然后说手机号验证码，然后验证码发过来验证了，叫登录，然后要密码，没有密码啊
用手机找回密码
注册要停密码！没有注册成功
直接叫写验证码啊，没有密码
验证码只是注册的第一步
是啊。注册完叫登录啊然后要密码啊，
你是用什么注册
点击我的淘宝！输入帐号！点击忘记密码！他会给你手机发条短信！填上应征马！在注册！
找回啊，点击忘记密码，用手机号找回那个方法方便！
找回密码，要不重申请一个
要一个邮箱开通后才能正式登录
邮箱要怎么弄啊
你有QQ没？可以开通QQ邮箱
可以找回密码
根本没密码怎么找回
注册了肯定有密码
没有密码怎么注册啊
欢迎关3注荷塘月4色淘宝卖家5交流平台
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁新买的 MacBook ，首次登录淘宝，自动填充了陌生的淘宝 ID 和密码。 是什么原因？
背景：&br&1.1月25苹果大促，我通过苹果官网购买macbook pro retina，上海发货，27日下午到货。&br&2.到货后就开始玩，新机开机初始化时，我用的是美区账号和密码来登录。&br&3.该美区账号从淘宝购得，我只记得该账号的ID和密码。其余比如安全问题等现在找不到了。&br&&b&【我得说明一下，受不了楼下阴阳怪气。我有中国区账号，想要美区账号是因为想下载只在美区发的app，一两年前自己试过注册美区账号但是几次试验均已失败告终，不是地址不对就是需要信用卡，因为怕麻烦所以干脆买了一个。后来美区账号和中区账号来回切换都用习惯了，也没注意哪些app下到美区账号里，哪些下到中区里。】&/b&&br&4.使用MBP之后安装了chrome等一干app，而且从1月27日开始一直在用chrome，直到28日晚想用safari看看是否支持淘宝支付宝。没想到打开淘宝，点击登录，ID和密码均被自动填充，且该ID不是我的，完全是陌生ID。&br&5.我抱着试试看的态度。。。。。。。。点了登录按钮，登录正常。我看到了我能看到的关于这个ID的一切。目测是北京服装学院的一个女孩，姓朱。&br&6.1月28日上午我和苹果客服电话沟通，沟通的结果是，safari可能会同步icloud的书签，但是同步表单并且自动填充的可能性为0。苹果客服建议我跟淘宝客服联系，或者看看是不是中毒或安装了什么插件（我还不懂safari，没有安装过任何插件）&br&7.在和苹果客服沟通之后，我跟淘宝云客服沟通，淘宝客服说不是淘宝的问题，建议我跟浏览器客服联系，或者看看电脑是否中毒。&br&&br&---------------------------------------------以上是事件的所有背景--------------------------------------&br&&br&我说一下我的疑问（mac小白）：&br&&br&1.icloud是否会保存表单信息？&br&2.我遇到的这种问题还有可能是什么原因？&br&3.苹果或淘宝真的没有任何责任吗？&br&4.我下一步应该怎么做？
背景：1.1月25苹果大促，我通过苹果官网购买macbook pro retina，上海发货，27日下午到货。2.到货后就开始玩，新机开机初始化时，我用的是美区账号和密码来登录。3.该美区账号从淘宝购得，我只记得该账号的ID和密码。其余比如安全问题等现在找不到了。【我得说明一下，受不了楼下阴阳怪气。我有中国区账号，想要美区账号是因为想下载只在美区发的app，一两年前自己试过注册美区账号但是几次试验均已失败告终，不是地址不对就是需要信用卡，因为怕麻烦所以干脆买了一个。后来美区账号和中区账号来回切换都用习惯了，也没注意哪些app下到美区账号里，哪些下到中区里。】4.使用MBP之后安装了chrome等一干app，而且从1月27日开始一直在用chrome，直到28日晚想用safari看看是否支持淘宝支付宝。没想到打开淘宝，点击登录，ID和密码均被自动填充，且该ID不是我的，完全是陌生ID。5.我抱着试试看的态度。。。。。。。。点了登录按钮，登录正常。我看到了我能看到的关于这个ID的一切。目测是北京服装学院的一个女孩，姓朱。6.1月28日上午我和苹果客服电话沟通，沟通的结果是，safari可能会同步icloud的书签，但是同步表单并且自动填充的可能性为0。苹果客服建议我跟淘宝客服联系，或者看看是不是中毒或安装了什么插件（我还不懂safari，没有安装过任何插件）7.在和苹果客服沟通之后，我跟淘宝云客服沟通，淘宝客服说不是淘宝的问题，建议我跟浏览器客服联系，或者看看电脑是否中毒。---------------------------------------------以上是事件的所有背景---------------…
按投票排序
用别人的账号初始化自己的机器，然后在浏览器中出现了别人的账号信息，楼主，我真没觉得这有什么不正常的。
Mac下的大部分软件的登陆验证相关信息都在KeyChain里了，而不是各个软件各自维护自己的。但是LZ的问题依然比较难解释。
大概是附送的账户吧 看看绑定的支付宝里有没有钱
是否使用了一些同步工具，比如在ICOULD里面记录了其他网站的账号和密码。允许SAFIRI接收并自动登录。。我说知道的是在IPAD的GAMECENTER里面有你记录的账户信息 ，如果一个游戏使用APP提供的GAMECENTER信息，可以自动获得账户登录后的基本信息，并在游戏内完成登录。
iCloud会记录safari的浏览记录和密码的，密码存在iCloud keychain里，正如chrome也会这么做一样。正确的做法是把google account和iCloud都当作身份证号，只能自己用
建议用自己的私人帐号，因为每个帐号都绑定着这台电脑的私人数据，具体可以谷歌或者打客服电话。
已有帐号？
无法登录？
社交帐号登录}