乌云 2014 年 02 月爆出的支付宝登录漏洞有何危害，余额宝安全吗？ 第1页

今天（2014年2月17日）下午，互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝（我的余额宝撒）》的漏洞一炮打响，一时间各BBS、微博、微信、QQ群展开火热的讨论，很多人表示关心自己支付宝是否安全？有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。

首先回答大家最关心的问题，网络支付还安全吗？

当然今天所看到的只是某个漏洞提前曝光在了大家眼前，至于支付是否安全，我觉得这得需要服务提供商（公司）和用户共同来铸造，单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户，你怎么样守护他的安全？系统打好补丁，别上小网站下载乱七八糟的应用，先保证自己电脑以及安全意识没有那么低下，剩下的安全就交给服务提供商来做吧！好在近几年国内厂商安全意识有所提高。

这个问题只是网络安全漏洞世界中的冰山一角，为什么大家会那么关心这个问题，好多朋友甚至私信、短信我问这个问题？

其实说起来也很简单，因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天，你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的，比如他的论坛密码泄露？通知他说：“你某论坛密码泄露了，修改一下吧”他会很无所谓的告诉你：“泄露就泄露吧，反正没多大事，实在不行重新注册一个”

爱财之心，人皆有之。这个漏洞引发了不少人的恐慌，好在我支付宝没绑定银行卡，余额宝更是没有钱，索性好好的分析一下这个漏洞的详细情况。

漏洞详情？威胁究竟如何？

2014-02-17下午14:20 Wooyun平台上爆出这个漏洞，截止到16:00已经修复，当然大家不知道这个漏洞也许存在并被利用很久了，前面说过了，只是浮出水面的一角。

14:25分的时候我收到一封来自这里姑且称之为“L”的邮件，提供给了我漏洞详情，称漏洞快被修复了让我拿来研究一下，看完之后真是娇躯一震。

邮件内容只有一句话：site:http://login.taobao.com inurl:login_by_safe, about wy. L

但是就是这样一句话，想必就是白/黑帽子梦寐以求的东西，现在漏洞已经Fix，当然这篇文章全文都是我编的，不用太在意。

后面就好办了，于是我们进行的简单的GoogleHack：

       https://login.taobao.com/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=     

上面就是结果页的URL，写到这里我有点儿编不下去了，便把user_num_id的值打了星星符号，这个漏洞是这样的，搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户，再从淘宝可以跳到支付宝，当然不需要登录。

于是后面我又把这个URL进行了“分解”：

       https://login.taobao.com/member/login_by_safe.htm? sub= &guf= &c_is_scure= &from=tbTop &type=1 &style=default &minipara= &css_style= &tpl_redirect_url= &popid= &callback=jsonp97 &is_ignore= &trust_alipay= &full_redirect= &user_num_id=********* &need_sign= &from_encoding=%810%851_duplite_str= &sign=&ll=     

后来又对比了几个，发现其中不同的仅是callback与user_num_id，callback不用理睬，也就是我们可以通过遍历user_num_id便能登陆任意账户。

其实一旦支付宝账户像这样的方式泄露，用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏，哎，这事又怪不得用户。不过阿里这次能给国内网民提个醒，注意注意安全！当然有好多朋友提出这样的疑问：“他又不知道我的转账密码，所以还是没问题啊，一点儿表示不担心”。像遇到这种人只能笑而不语，其实支付宝是有个小额免密的功能的，那么大数据用户面前来几百万个小额免密的用户，黑产小伙们就笑了。

<!--有多位称只有手机上才有小额免密功能，嗯，只有手机上能用，嗯。另外看到回复说：撞库也是一个不错的选择。-->

哦，对了，不知道黑产小哥们玩了多久这个漏洞了。

类似的漏洞有没有？

下午redrain（信息安全爱好者）和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞，但没有今天如此严重，还好留下两张历史图片：

其实这种漏洞在某些地方还是蛮多的，如果你认为所有漏洞都会披露到互联网水面上，那就太天真了。

支付安全中另外一种很常见的攻击手法就是钓鱼了，这种钓鱼普遍发生在高档咖啡厅，黑客采用定点攻击，搭建WIFI热点让其用户连接监听用户所有流量包进行劫持，这两天会发表一篇关于DNS劫持的文章，他们之间有异曲同工之妙的联系。

官方表态

16:40分时，淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币：

甲方公司这样的态度令人称赞，让我们共同呼吁铸造安全互联网！

最终结论

说到底，用户怎么样才能保证自己的支付安全？

1、开启短信验证码支付

2、手机支付的话开启手势支付

3、绑定数字证书

4、不链接陌生的Wifi

5、使用复杂密码（重要网站使用独立密码）

6、没有必要的话手机不要越狱或者Root

7、...

安全是一个整体，单线安全注定不安全，这就需要服务商与我们共同的安全意识。

对了，刚刚“L”发给了我一张图：