京东支付逻辑存在不安全因素

写在前面的话:

写本文只想引起足够重视,不管是开发还是用户;

关于本文提到问题也提交给京东官方,希望他们能重视.

同时也希望看到本文的用户多一个心眼

希望大家都不要达到以下的全部假设;

---------------------------

以下测试完成于2015-09-08日;

测试条件与步骤:

一手机,android系统，号码已绑定京东账户，手机有京东app，n天前已经登录过未退出,即使最后使用也强制结束过app，那么打开会自动登录的,假设你没有设定密码锁(测试了下没有找到京东app有启动屏锁?);

或不管你从手机的微信或是手机上的qq的工作群或是任意一点信息点,找到这个手机用户的全名,那么你只需要提供手机收到验证码和曾经收过货的命名(这个手机用户除非没有买过东西?);即可拿到京东登录密码;

见图

那么,你下载京东app吧,使用手机号+新密码即可登录;

京东钱包曾经绑定过信用卡(这里只测试钱包支付,不再测试其它支付方式)，本手机无需安装钱包app；购买东西，支付时使用京东app中的钱包支付（注意不是微信，也不是快捷支付），输入手机号，收到发来验证码，输入，确认，提示支付成功，整个流程不需要任何密码，只要一个手机号码即可,如果你的app是一启动就自动登录的。

ok,这里没有再测试其它支付方式的支付流程设定是否足够;

下面看看你可能遇到的问题:

比如那天手机被人偷/抢/掉了,得到的人可以怎么利用，拿到别人手机，得到号码,从手机中猜到全名，输入到京东取回密码；如果这个手机已经安装京东app，且登录，取密码步骤可以省略，那么随便下单试试能不能就凭手上的手机就买单吧,可以,那么你运气足够好!

发现京东的这些设定很容易就可能因为手机掉到别人手中,可能就会出现损失的情况;

曾经还发现过京东快捷支付输入错误的卡年月日和3位验证码也能支付成功,一直维持n久不见改进;从此赶紧,用完立刻删除卡;

由此可以推断它很难确保它的支付环节是足够强健的;

就像招商银行atm机重要操作都需要验证,比如每轮取钱或是查询,你还能多少放心弃卡而去;但是对于某些银行atm机,一次密码验证,无限次操作,你敢弃卡而去吗?