支付宝出现安全漏洞，各位注意了

daben

今天无意间看到的，各位余额宝存钱的注意了，破解者说：支付宝允许使用手机进行登陆，当允许手机登陆以后，居然不允许取消可以使用手机登陆（你说蛋疼不？），找客服妹子让取消说只能输入一个不存在的手机号进行规避，好吧，假设我现在知道你的手机号，离你的位置不远，且我有电脑，手机，数据线，那么你的登陆密码就可以由我来控制了。
缺陷编号：        WooYun-2013-41453
漏洞标题：         支付宝手机号登陆密码重设漏洞
相关厂商：        阿里巴巴
漏洞作者：        Mr.Anderson
提交时间：         2013-10-30 13:14
公开时间：         2013-10-30 16:59
漏洞类型：         设计缺陷/逻辑错误
危害等级：         中
自评Rank：         5
漏洞状态：         漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源：        http://www.wooyun.org
详情点击这里查看：http://www.wooyun.org/bugs/wooyun-2010-041453
转自： Mr.Anderson@乌云

熟能生巧哇

嗯 听说了 没有用手机登录过支付宝额呵呵

cfdylz

挺严重啊 关键是有人不怀好意啊。。。严重鄙视

daben

熟能生巧哇 发表于 2013-10-31 21:19
嗯 听说了 没有用手机登录过支付宝额呵呵

我频繁使用手机支付宝钱包，惴惴不安啊。。。

X-Man

阿里巴巴主动忽略，肯定没什么大问题。

firearmer

200元诺基亚飘过                     

happyduck

我没用余额用在余额宝啊 T T

沁泉

不用那玩意，买过很多东西，支付宝还没有实名认证，身份证被人给抢认证了

yangjianfeng

没钱。。。。。。。。。。。。。。

epanda

沾手上 甩都甩不掉！！！  我注册的taobao账号 比较2 想换 但是客服说交易过的 就不能更换 我说不用了注销也不行 说你不用放在那里就可以了！  悲催！

newinsh

阿里的技术应该还可以，不会出太低级的漏洞吧

jx007888

呵呵不用手机登录哈                     

wlxx

哇，听起来很恐怖，大家还是要小心

gger

设计上这种漏洞经常的事 有人专门研究呢

aicheng262

唉，这个貌似很多家银行也出现这样的。
微信什么的也差不多！
自己尽量注意小心就好了！

fantasy163

支付宝从来都不会留一分钱在里面

坐在墙头

这个是gsm网络的问题，不是支付宝的问题。移动2G手机会被劫持短信，然后被获取找回密码短信验证码。

sophieqd

gsm漏洞果然厉害，学习了

wszwy

这个了解了，以后还是不用手机上支付宝了

amazoni

支付宝帐号有点乱，我都不想细说了，说多也没什么作用，一家独大

搞搞阵

乌云哥，明显是要搞马云哥的嘛。

搞搞阵

typo马云=乌云。                    

longwang

没有看好余额宝，没有用过。但是用手机登陆过。

Seanhere

经常使用手机支付宝，既然支付宝官方不重视，希望是个小问题

wlxx

没用过手机支付宝，想试试   

Lemonic

狡兔三窟最安全了。。。。

bjghw

这个以后要注意了，学习　　　

未来式

这个问题还真不知道，谢谢楼主分享

正在输入

沁泉 发表于 2013-10-31 23:54
不用那玩意，买过很多东西，支付宝还没有实名认证，身份证被人给抢认证了
...

肯定是熟人做案。。哈