支付宝密码登陆明文漏洞

chenjifa

第一个发现这个的不是我
无意中在某某安全网站看到了支付宝安全登陆控件漏洞，惊爆支付宝特大bug--特大bug之二
和写一个无提示关闭36Xsafe和360sd的demo 同一作者
爆漏洞也罢，打开测试程序和无提示关闭36Xsafe和360sd的demo 一样锁主页关闭也会弹出作者的网站
这也太那个了。。。。无语
其实这个漏洞原理很简单，支付宝内置了密码3DES加密方式的解密接口
我也写了个demo 无修改任何东西，不做什么宣传。
只在IE内核浏览器有效！
代码会很快公布出来的
当然也是怕被人利用了。
应该很快公布代码的。

1haoyu

你牛太X！

Tesla.Angela

所以我从来不信任什么网购！
网银也不会开通网络转账的功能！

chenjifa

更新了下
加上获取淘宝的登陆密码

chenjifa

sb666 发表于 2011-8-29 12:42
在正式交易页面登录是无效的
https://auth.alipay.com/login/in ... %2F%2Fwww.alipay.co ...

一样有效的
如果开了360或金山等网购保镖防页面修改功能是没效的
必须关闭防页面修改才能测试 成功

Tesla.Angela

sb666 发表于 2011-8-29 12:42
在正式交易页面登录是无效的
https://auth.alipay.com/login/in ... %2F%2Fwww.alipay.co ...

晕，没源都加亮

比较吸引眼球的、而且是有BIN的都会加亮，如果有src就会加精。
加精就是进核心会员的依据。

Tesla.Angela

chenjifa 发表于 2011-8-29 13:29
一样有效的
如果开了360或金山等网购保镖防页面修改功能是没效的
必须关闭防页面修改才能测试 成功

本来还想自己开个可转账的网银来淘宝买东西的，给你的帖子这么一吓唬，我看还是算了吧。
买东西还是先去柜员机转账到朋友的帐号，然后再叫朋友帮我买。。。

chenjifa

Tesla.Angela 发表于 2011-8-30 00:02
本来还想自己开个可转账的网银来淘宝买东西的，给你的帖子这么一吓唬，我看还是算了吧。
买东西还是先去 ...

准备传代码上去，你们版主才 可以加权限的吧？

Tesla.Angela

chenjifa 发表于 2011-8-30 18:57
准备传代码上去，你们版主才 可以加权限的吧？

任何人都可以加权限的！