京东支付逻辑存在不安全因素

写在前面的话:


写本文只想引起足够重视,不管是开发还是用户;

关于本文提到问题也提交给京东官方,希望他们能重视.

同时也希望看到本文的用户多一个心眼

希望大家都不要达到以下的全部假设;


---------------------------

以下测试完成于2015-09-08日;


测试条件与步骤:

一手机,android系统,号码已绑定京东账户,手机有京东app,n天前已经登录过未退出,即使最后使用也强制结束过app,那么打开会自动登录的,假设你没有设定密码锁(测试了下没有找到京东app有启动屏锁?);
或不管你从手机的微信或是手机上的qq的工作群或是任意一点信息点,找到这个手机用户的全名,那么你只需要提供手机收到验证码和曾经收过货的命名(这个手机用户除非没有买过东西?);即可拿到京东登录密码;

见图




那么,你下载京东app吧,使用手机号+新密码即可登录;

京东钱包曾经绑定过信用卡(这里只测试钱包支付,不再测试其它支付方式),本手机无需安装钱包app;购买东西,支付时使用京东app中的钱包支付(注意不是微信,也不是快捷支付),输入手机号,收到发来验证码,输入,确认,提示支付成功,整个流程不需要任何密码,只要一个手机号码即可,如果你的app是一启动就自动登录的。

ok,这里没有再测试其它支付方式的支付流程设定是否足够;

下面看看你可能遇到的问题:

比如那天手机被人偷/抢/掉了,得到的人可以怎么利用,拿到别人手机,得到号码,从手机中猜到全名,输入到京东取回密码;如果这个手机已经安装京东app,且登录,取密码步骤可以省略,那么随便下单试试能不能就凭手上的手机就买单吧,可以,那么你运气足够好!

发现京东的这些设定很容易就可能因为手机掉到别人手中,可能就会出现损失的情况;

曾经还发现过京东快捷支付输入错误的卡年月日和3位验证码也能支付成功,一直维持n久不见改进;从此赶紧,用完立刻删除卡;
由此可以推断它很难确保它的支付环节是足够强健的;

就像招商银行atm机重要操作都需要验证,比如每轮取钱或是查询,你还能多少放心弃卡而去;但是对于某些银行atm机,一次密码验证,无限次操作,你敢弃卡而去吗?

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值