互聯(lián)網(wǎng)安全警報(bào)平臺(tái)上一則名為《淘寶認(rèn)證缺陷可登錄任意淘寶賬號(hào)及支付寶（我的余額寶撒）》的漏洞一炮打響，一時(shí)間各BBS、微博、微信、QQ群展開(kāi)火熱的討論，很多人表示關(guān)心自己支付寶是否安全？有的白/黑帽子則更是關(guān)心漏洞的細(xì)節(jié)以及漏洞利用情況。

首先回答大家最關(guān)心的問(wèn)題，網(wǎng)絡(luò)支付還安全嗎？

當(dāng)然今天所看到的只是某個(gè)漏洞提前曝光在了大家眼前，至于支付是否安全，我覺(jué)得這得需要服務(wù)提供商（公司）和用戶(hù)共同來(lái)鑄造，單方面安全總是不行的。密碼全部是弱口令、123456、iloveyou123、qq123123的賬戶(hù)，你怎么樣守護(hù)他的安全？系統(tǒng)打好補(bǔ)丁，別上小網(wǎng)站下載亂七八糟的應(yīng)用，先保證自己電腦以及安全意識(shí)沒(méi)有那么低下，剩下的安全就交給服務(wù)提供商來(lái)做吧！好在近幾年國(guó)內(nèi)廠商安全意識(shí)有所提高。

這個(gè)問(wèn)題只是網(wǎng)絡(luò)安全漏洞世界中的冰山一角，為什么大家會(huì)那么關(guān)心這個(gè)問(wèn)題，好多朋友甚至私信、短信我問(wèn)這個(gè)問(wèn)題？

其實(shí)說(shuō)起來(lái)也很簡(jiǎn)單，因?yàn)檫@個(gè)問(wèn)題威脅到他的個(gè)人財(cái)產(chǎn)了。國(guó)內(nèi)網(wǎng)民安全意識(shí)普遍低下的今天，你不拿出點(diǎn)能夠威脅到他們金錢(qián)利益的東西他們是不會(huì)害怕的，比如他的論壇密碼泄露？通知他說(shuō)：“你某論壇密碼泄露了，修改一下吧”他會(huì)很無(wú)所謂的告訴你：“泄露就泄露吧，反正沒(méi)多大事，實(shí)在不行重新注冊(cè)一個(gè)”

漏洞詳情？威脅究竟如何？

2014-02-17下午14:20 Wooyun平臺(tái)上爆出這個(gè)漏洞，截止到16:00已經(jīng)修復(fù)，當(dāng)然大家不知道這個(gè)漏洞也許存在并被利用很久了，前面說(shuō)過(guò)了，只是浮出水面的一角。

14:25分的時(shí)候我收到一封來(lái)自這里姑且稱(chēng)之為“L”的郵件，提供給了我漏洞詳情，稱(chēng)漏洞快被修復(fù)了讓我拿來(lái)研究一下，看完之后真是嬌軀一震。

郵件內(nèi)容只有一句話：site:http://login.taobao.com inurl:login_by_safe, about wy. L

但是就是這樣一句話，想必就是白/黑帽子夢(mèng)寐以求的東西，現(xiàn)在漏洞已經(jīng)Fix，當(dāng)然這篇文章全文都是我編的，不用太在意。

后面就好辦了，于是我們進(jìn)行的簡(jiǎn)單的GoogleHack：

https://login.taobao.com/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=

上面就是結(jié)果頁(yè)的URL，寫(xiě)到這里我有點(diǎn)兒編不下去了，便把user_num_id的值打了星星符號(hào)，這個(gè)漏洞是這樣的，搜索出來(lái)的結(jié)果我們點(diǎn)擊進(jìn)去之后會(huì)自動(dòng)進(jìn)入對(duì)方的淘寶賬戶(hù)，再?gòu)奶詫毧梢蕴街Ц秾?，?dāng)然不需要登錄。

于是后面我又把這個(gè)URL進(jìn)行了“分解”：

https://login.taobao.com/member/login_by_safe.htm? sub= &guf= &c_is_scure= &from=tbTop &type=1 &style=default &minipara= &css_style= &tpl_redirect_url= &popid= &callback=jsonp97 &is_ignore= &trust_alipay= &full_redirect= &user_num_id=********* &need_sign= &from_encoding=%810%851_duplite_str= &sign=&ll=

后來(lái)又對(duì)比了幾個(gè)，發(fā)現(xiàn)其中不同的僅是callback與user_num_id，callback不用理睬，也就是我們可以通過(guò)遍歷user_num_id便能登陸任意賬戶(hù)。

其實(shí)一旦支付寶賬戶(hù)像這樣的方式泄露，用戶(hù)的物理位置、手機(jī)號(hào)、姓名以及很多隱私都會(huì)大量泄漏，哎，這事又怪不得用戶(hù)。不過(guò)阿里這次能給國(guó)內(nèi)網(wǎng)民提個(gè)醒，注意注意安全！當(dāng)然有好多朋友提出這樣的疑問(wèn)：“他又不知道我的轉(zhuǎn)賬密碼，所以還是沒(méi)問(wèn)題啊，一點(diǎn)兒表示不擔(dān)心”。像遇到這種人只能笑而不語(yǔ)，其實(shí)支付寶是有個(gè)小額免密的功能的，那么大數(shù)據(jù)用戶(hù)面前來(lái)幾百萬(wàn)個(gè)小額免密的用戶(hù)，黑產(chǎn)小伙們就笑了。

哦，對(duì)了，不知道黑產(chǎn)小哥們玩了多久這個(gè)漏洞了。

類(lèi)似的漏洞有沒(méi)有？

下午redrain（信息安全愛(ài)好者）和我聊天中說(shuō)想起去年2月份左右支付寶出現(xiàn)過(guò)類(lèi)似越權(quán)限的漏洞，但沒(méi)有今天如此嚴(yán)重，還好留下兩張歷史圖片：

其實(shí)這種漏洞在某些地方還是蠻多的，如果你認(rèn)為所有漏洞都會(huì)披露到互聯(lián)網(wǎng)水面上，那就太天真了。

支付安全中另外一種很常見(jiàn)的攻擊手法就是釣魚(yú)了，這種釣魚(yú)普遍發(fā)生在高檔咖啡廳，黑客采用定點(diǎn)攻擊，搭建WIFI熱點(diǎn)讓其用戶(hù)連接監(jiān)聽(tīng)用戶(hù)所有流量包進(jìn)行劫持，這兩天會(huì)發(fā)表一篇關(guān)于DNS劫持的文章，他們之間有異曲同工之妙的聯(lián)系。

官方表態(tài)

16:40分時(shí)，淘寶網(wǎng)壕風(fēng)雄震在新浪微博致謝漏洞挖掘者5W元人民幣：

甲方公司這樣的態(tài)度令人稱(chēng)贊，讓我們共同呼吁鑄造安全互聯(lián)網(wǎng)！

最終結(jié)論

說(shuō)到底，用戶(hù)怎么樣才能保證自己的支付安全？

1、開(kāi)啟短信驗(yàn)證碼支付

2、手機(jī)支付的話開(kāi)啟手勢(shì)支付

3、綁定數(shù)字證書(shū)

4、不鏈接陌生的Wifi

5、使用復(fù)雜密碼（重要網(wǎng)站使用獨(dú)立密碼）

6、沒(méi)有必要的話手機(jī)不要越獄或者Root

安全是一個(gè)整體，單線安全注定不安全，這就需要服務(wù)商與我們共同的安全意識(shí)。