阿里巴巴的支付宝“收款主页”惊现重大安全隐患

最新推荐文章于 2017-03-30 17:46:28 发布
最新推荐文章于 2017-03-30 17:46:28 发布
阅读量7.1k 收藏
点赞数 3
分类专栏: liigo 文章标签: 阿里巴巴 email url 制造 测试 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liigo/article/details/6890169
版权

支付宝开通了个人收款主页,无需泄露个人帐户信息就可以安全收款。对于自由软件开发者收取捐赠还是很方便的。申请开通地址:https://shenghuo.alipay.com/transfer/mc/index.htm

我试用后发现,支付宝 “收款主页” 还是做的欠考虑啊,不成熟,有很大的安全隐患

以下我的经历和操作过程(账户和email均为化名):


1、为我的支付宝账户fuck@aliapy.com开通收款主页http://me.alipay.com/fuck(根据后面的结果推断,它是把此URL跟email关联了);


2、修改我的支付宝Email账户名称为okay@ibm.com(此时以前的fuck@aliapy.com这个支付宝帐户就不存在了),这是支付宝内的正常操作;



3、用别人的支付宝通过收款主页http://me.alipay.com/fuck给我付款,提示交易成功。注意此次付款竟然是付给早就不再存在的空帐户fuck@aliapy.com!当然,支付宝也意识到该账户不存在,同时提示15日后可以返还付款。(搞错没有,15日那么久,付款人损失惨重!)另外还有撤销交易的可选操作。



由此可见,支付宝“收款主页”开发人员未考虑到“修改Email账户名称”这一常规操作,幼稚的把收款主页URL跟旧的Email关联,不仅导致收款人收不到款,还会给付款人造成资金损失。非常严重的安全事故,支付宝制造。


2011-12-7 liigo补记:支付宝的工作人员在我反馈意见的第五天给出了答复,说“本周解决”。由于我没有及时关注此事,直到一个多月后的今天才看到他们的答复。特意去测试了一下,果然已经改好了。他们答复的原话是:
Liigo
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
HookAlipaytransport:Hooking Alipay 通信数据(小程序数据 等)
05-10
Alipaytransport Hook 适用支付宝v10.1.25版本(其他版本未测试); 可获取转账数据包、小程序、H5应用通信数据包等; 仅hook部分通信接口、未bypass日志上传接口。 仅用于第三方应用数据分析,请勿用于其他用途。
多合一二维码支付
12-09
可以将多个平台收款码合并为一个通用的收款二维码,PHP源码,上传网站空间修改相关链接成自己的即可。
将微信和支付宝支付的个二维码合二为一
热门推荐
woshishuiaaaD的博客
12-09 5万+
因公司需要将支付宝和微信的二维码合成一个,不管用户用支付宝扫还是微信扫都能打开对应的支付页面,在网上找了一些文章,很感谢各位大神的经验,我也记录下我是如何将两个二维码合二为一的~。 原理:支付宝或微信生成的二维码中本质都内嵌了一个url,在扫码时实际是定向去访问二维码中内嵌的url,这样我就可以将这个url指定到我的一个控制器,在控制器中判断是微信还是支付宝软件扫的,然后去唤醒各自的支付即可。
收款计算器
11-01
收款计算器,自己用的,不用描述那么清楚吧!
支付宝收款借口 易收网支付宝收款辅助 v1.0
10-30
支付宝收款接口与易收网支付宝收款辅助 v1.0详解》 在互联网时代,线上支付已经成为日常交易的重要组成部分,而支付宝作为国内领先的第三方支付平台,其收款接口扮演着至关重要的角色。本文将深入探讨“易收网...
基于Android的微信/支付宝收款监控系统设计源码
最新发布
04-07
本项目是一个基于Android语言开发的微信/支付宝收款监控系统,包含159个文件,主要文件类型包括Java源代码、图片、XML配置文件、JAR包、音频文件、项目配置文件、Git忽略文件、属性文件和LICENSE文件。系统设计旨在...
支付宝收款截图工具
08-19
------------------支付宝转账截图软件------------- 支付宝手机钱包转账到支付宝全过程需要截图。 安卓版和苹果版 -----------------------提示1---------------------- 1、创建时间需要小于付款时间 2、...
支付宝收款铃声素材
12-03
该素材涵盖了支付宝所有的收款提示音,而且是原声,大家可以根据自己的需要合并出相应的音频,自由合并,自由发挥,里面包括有简单的合并方法,有电脑就能合并!!!该提示音可以很好地作为项目中的收款提示,同时也...
阿里巴巴跨境试题二.docx
08-02
阿里巴巴跨境试题涉及了多个与跨境电商相关的知识点,包括国际贸易的基础知识、电子商务术语、阿里巴巴国际站的操作与功能、市场推广策略以及客户管理和营销技巧。以下是这些知识点的详细解释: 1. **结汇单据**:...
hook支付宝源码
01-06
修改数据
最新微信/支付宝/QQ二维码三合一制作程序PHP源码分享
11-07
最新微信/支付宝/QQ二维码三合一制作程序PHP源码分享 演示网站:http://www.sck56.cn/forum.php?mod=forumdisplay&fid=51
最新最全的支付宝二维码API文档说明。绝对物有所值
04-05
该API文档是我与支付宝Coder联调时一边联调一边修改的。最新的支付宝手机客户端的二维码API文档。绝对物有所值。二维码API。支付宝API
支付宝微信二维码支付整合
11-15
支付宝微信二维码支付整合
微信支付宝收款二维码合并器使用手册
01-26
二维码在网络和生活中的应用比比皆是。可我们也能发现,在商场、超市、菜市场等形形色色的场合,为了同时支持微信、支付宝,他们必须摆出2个二维码,这给扫码者带来了极大的不便。能不能将2个二维码合二为一,大大地方便收款方与付款方,答案是肯定的。 微信支付宝收款二维码合并器的主要作用,就是将2个收款二维码进行合并,你可以将合并后的二维码保存放大、打印。你不必在网上进行繁琐的实名注册,就立马能取得合并的二维码了。 好了,赶紧告诉周围那些采用二维码收款的朋友,用这个二维码合并工具,将他们的收款二维码合并吧。只用一个二维码收款、挪车,是不是显得自己很新潮!用不了一二年,再在自己的面前摆放2个二维码,就会显示太Low了!
java实现微信支付宝等多个支付平台合一的二维码支付(maven+spring springmvc mybatis框架)
fanghuainihao的博客
03-30 1万+
首先申明,本人实现微信支付宝等支付平台合多为一的二维码支付,并且实现有效时间内支付有效,本人采用的框架是spring springmvc mybatis 框架,maven管理。其实如果支付,不需要mybatis也能实现,代码和本人见解还需大神指教。 流程和思路:**用户点击支付** --> **出现一次支付密码,并且带有时间限制** --> **扫描二维码跳转后台** --> **后台判断是微信支付
支付宝二维码
01-26
支付宝二维码 现在分享一下给大家!
微信,支付宝双码合一
12-01
微信支付以及支付宝支付宝,双码合一的代码。 本资源使用的是PHP实现!!!
支持微信支付宝QQ京东四合一收款将其二维码合并为一个二维码
08-11
支持微信、支付宝、QQ,京东、四合一收款,将其二维码合并为一个二维码,无需手续费,支持qq头像,昵称判断(单页版多模板) 腾讯云服务器
支付宝架构详解:业务模式与技术演变揭秘
支付宝架构作为阿里巴巴集团的核心组成部分,是支撑其电子商务帝国的重要基石。本文档主要通过阿里巴巴内部交流的形式,深入探讨了支付宝的业务模式、架构演变以及与之相关的资金流管理。首先,我们关注的是支付业务...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值