支付宝付款时密保工具绕过
简单说就是支付宝设置了支付验证密保工具,到了wap版就无验证机制了
即使用户设置了支付宝付款需要验证密保工具(比如手机验证码,宝令,动态密码,电子证书),只要先把订单提交,到验证密保这一步。
换手机上wap的支付宝,
找到未支付订单,就可以只凭支付密码完成支付。
要知道在大数据社工面前,支付密码什么的真不是什么问题。
具体可以看我在乌云发的漏洞。。支付宝居然忽略漏洞了{:soso_e127:}
http://www.wooyun.org/bugs/wooyun-2013-038387
{:soso_e141:}以前的时候支付宝塞班客户端快捷支付直接付款的,都不要验证短信的,后来过段时间就不行了 幸好不用手机。。。 马克一下啊 支付宝说这不是漏洞{:soso_e120:}
页:
[1]