简要描述:
支付宝是目前比较安全的一款在线支付工具,然而,在特定条件下,可以绕过支付宝的数字证书和支付密码进行支付,
淘宝流程设计漏洞(无需支付密码即可完成支付交易)漏洞预警
。黑产用该手段偷钱,简直可以日进万金啊。详细说明:
支付宝是阿里巴巴旗下的在线支付平台,每一位在淘宝购物的同学都会有使用支付宝的经历。支付宝是目前比较安全的一款在线支付工具,然而,在特定条件下,可以绕过支付宝的数字证书和支付密码进行支付。
漏洞证明:
我先贴一下淘宝的购物流程(摘自淘宝服务中心)。
图1 淘宝购物流程
那么在确认收货的时候,会校验数字证书和支付密码。如图2所示。
图2 提示安装数字证书
这是正常流程,那么如果我购物不顺利怎么办?淘宝也为我们想好了,有一个退款流程,
电脑资料
《淘宝流程设计漏洞(无需支付密码即可完成支付交易)漏洞预警》(http://meiwen.anslib.com)。
在该流程中,需要买家发起退货申请,并且卖家同意。然后买家将货品发回,卖家再确认收货并退款。这个流程看似没有问题,但却隐藏了一个极大的漏洞——发起退款申请时,无需校验支付宝数字证书和支付密码,即可以绕过支付宝数字证书和支付密码。由于淘宝在退款时,退款金额可以协商,即用户自己输入,假如我买了2500元的东西,申请退款100元,那么卖家可以直接将2400收入口袋。
目前已经有人在使用该漏洞闷声发大财,手法如下。
首先,通过在淘宝上架便宜的商品(可以是二手),比如iphone5只卖2500元。再在某些渠道将这些链接推送出去,比如论坛发链接留QQ。在商品拍下并付款后,假借补个运费或送个赠品之名,发送伪装成淘宝的钓鱼链接,目的是为了套取淘宝账号和密码。骗子操作发货,并登录这些买家的账号,通过退货流程,迅速将买家的钱搞到手。2500元,退个百十块给买家,一笔就能赚好几千。
修复方案:
这个修复淘宝比我懂~