转自知乎：Evi1m0，来自知道创宇，邪红色信息安全组织创始人

今天（2014年2月17日）下午，互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝（我的余额宝撒）》的漏洞一炮打响，一时间各BBS、微博、微信、QQ群展开火热的讨论，很多人表示关心自己支付宝是否安全？有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。

首先回答大家最关心的问题，网络支付还安全吗？

当然今天所看到的只是某个漏洞提前曝光在了大家眼前，至于支付是否安全，我觉得这得需要服务提供商（公司）和用户共同来铸造，单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户，你怎么样守护他的安全？系统打好补丁，别上小网站下载乱七八糟的应用，先保证自己电脑以及安全意识没有那么低下，剩下的安全就交给服务提供商来做吧！好在近几年国内厂商安全意识有所提高。

这个问题只是网络安全漏洞世界中的冰山一角，为什么大家会那么关心这个问题，好多朋友甚至私信、短信我问这个问题？

其实说起来也很简单，因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天，你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的，比如他的论坛密码泄露？通知他说：“你某论坛密码泄露了，修改一下吧”他会很无所谓的告诉你：“泄露就泄露吧，反正没多大事，实在不行重新注册一个”

爱财之心，人皆有之。这个漏洞引发了不少人的恐慌，好在我支付宝没绑定银行卡，余额宝更是没有钱，索性好好的分析一下这个漏洞的详细情况。

漏洞详情？威胁究竟如何？

2014-02-17下午14:20 Wooyun平台上爆出这个漏洞，截止到16:00已经修复，当然大家不知道这个漏洞也许存在并被利用很久了，前面说过了，只是浮出水面的一角。

14:25分的时候我收到一封来自这里姑且称之为“L”的邮件，提供给了我漏洞详情，称漏洞快被修复了让我拿来研究一下，看完之后真是娇躯一震。

邮件内容只有一句话：site:570K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3I4G2k6$3W2F1i4K6u0W2N6r3q4G2j5X3q4G2i4K6u0W2j5$3!0E0 inurl:login_by_safe, about wy. L

但是就是这样一句话，想必就是白/黑帽子梦寐以求的东西，现在漏洞已经Fix，当然这篇文章全文都是我编的，不用太在意。

后面就好办了，于是我们进行的简单的GoogleHack：

1       
9feK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6D9L8$3N6A6L8W2)9J5k6i4c8S2L8$3u0S2L8#2)9J5k6h3y4G2L8g2)9J5c8X3#2W2L8h3u0W2M7W2)9J5c8X3I4G2k6$3W2F1i4K6g2X3j5Y4W2Q4y4h3k6K6j5h3k6W2i4K6u0W2K9s2c8E0i4K6y4r3M7%4g2T1i4K6y4p5i4K6t1$3k6%4g2X3i4K6y4p5i4K6t1$3j5#2)9#2k6X3W2K6i4K6g2X3M7$3y4#2M7X3g2Q4x3@1c8Q4x3U0k6X3M7X3!0E0i4K6y4p5N6r3u0f1L8%4m8Q4x3U0k6@1P5i4m8W2i4K6y4p5x3g2)9J5y4Y4y4@1P5h3I4W2i4K6y4p5k6r3g2X3j5i4g2D9N6q4)9J5y4X3#2A6L8X3W2H3j5i4u0S2i4K6y4p5i4K6t1$3j5%4y4K6i4K6g2X3M7%4c8&6L8r3g2Q4x3@1c8Q4x3U0k6@1M7r3I4Q4y4h3k6J5k6h3c8A6M7X3g2U0N6q4)9#2k6Y4g2J5L8q4)9K6c8q4)9J5y4Y4m8G2M7r3W2V1i4K6y4p5i4K6t1$3j5$3q4D9L8r3u0S2j5$3E0Q4x3@1c8B7M7$3!0F1M7o6V1%4i4K6t1$3K9i4y4Q4y4h3k6A6k6$3&6G2M7X3g2Q4x3@1c8Q4x3U0k6@1M7Y4g2K6N6q4)9#2k6X3q4D9K9i4m8S2P5g2)9K6c8q4)9J5y4X3k6#2L8r3I4Q4y4h3k6J5k6h3c8A6M7X3g2U0N6q4)9K6c8q4)9J5y4Y4g2K6k6i4u0Q4y4h3k6F1N6h3#2Q4y4h3k6A6k6q4)9K6c8q4)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5y4X3&6W2k6h3c8Q4y4h3k6K6K9h3N6F1i4K6y4p5i4K6t1$3k6Y4u0G2L8g2)9#2k6X3g2F1j5$3!0V1K9h3&6Y4i4K6y4p5i4K6t1#2z5o6p5H3i4K6t1#2z5o6f1I4i4K6g2X3k6s2g2H3L8r3W2@1k6g2)9#2k6Y4y4@1M7W2)9K6c8q4)9J5y4Y4y4A6k6$3&6Q4x3@1c8Q4x3U0k6D9L8q4)9K6c8l9`.`.
上面就是结果页的URL，写到这里我有点儿编不下去了，便把user_num_id的值打了星星符号，这个漏洞是这样的，搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户，再从淘宝可以跳到支付宝，当然不需要登录。

于是后面我又把这个URL进行了“分解”：

01       
ac1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6D9L8$3N6A6L8W2)9J5k6i4c8S2L8$3u0S2L8#2)9J5k6h3y4G2L8g2)9J5c8X3#2W2L8h3u0W2M7W2)9J5c8X3I4G2k6$3W2F1i4K6g2X3j5Y4W2Q4y4h3k6K6j5h3k6W2i4K6u0W2K9s2c8E0i4K6y4r3
02       
sub=
03       
&guf=
04       
&c_is_scure=
05       
&from=tbTop
06       
&type=1
07       
&style=default
08       
&minipara=
09       
&css_style=
10       
&tpl_redirect_url=
11       
&popid=
12       
&callback=jsonp97
13       
&is_ignore=
14       
&trust_alipay=
15       
&full_redirect=
16       
&user_num_id=*********
17       
&need_sign=
18       
&from_encoding=%810%851_duplite_str=
19       
&sign=&ll=
后来又对比了几个，发现其中不同的仅是callback与user_num_id，callback不用理睬，也就是我们可以通过遍历user_num_id便能登陆任意账户。

其实一旦支付宝账户像这样的方式泄露，用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏，哎，这事又怪不得用户。不过阿里这次能给国内网民提个醒，注意注意安全！当然有好多朋友提出这样的疑问：“他又不知道我的转账密码，所以还是没问题啊，一点儿表示不担心”。像遇到这种人只能笑而不语，其实支付宝是有个小额免密的功能的，那么大数据用户面前来几百万个小额免密的用户，黑产小伙们就笑了。

哦，对了，不知道黑产小哥们玩了多久这个漏洞了。

类似的漏洞有没有？

下午redrain（信息安全爱好者）和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞，但没有今天如此严重，还好留下两张历史图片：

其实这种漏洞在某些地方还是蛮多的，如果你认为所有漏洞都会披露到互联网水面上，那就太天真了。

支付安全中另外一种很常见的攻击手法就是钓鱼了，这种钓鱼普遍发生在高档咖啡厅，黑客采用定点攻击，搭建WIFI热点让其用户连接监听用户所有流量包进行劫持，这两天会发表一篇关于DNS劫持的文章，他们之间有异曲同工之妙的联系。

官方表态

16:40分时，淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币：

甲方公司这样的态度令人称赞，让我们共同呼吁铸造安全互联网！

最终结论

说到底，用户怎么样才能保证自己的支付安全？

1       
1、开启短信验证码支付
2       
2、手机支付的话开启手势支付
3       
3、绑定数字证书
4       
4、不链接陌生的Wifi
5       
5、使用复杂密码（重要网站使用独立密码）
6       
6、没有必要的话手机不要越狱或者Root
7       
7、...
安全是一个整体，单线安全注定不安全，这就需要服务商与我们共同的安全意识。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课