当前位置: >>
乌云于日爆出支付宝登陆漏洞，该漏洞会对用户余额宝产生怎么样的影响或
转自知乎：Evi1m0，来自知道创宇，邪红色信息安全组织创始人 今天（日）下午，互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝（我的余额宝撒）》的漏洞一炮打响，一时间各BBS、微博、微信、QQ群展开火热的讨论，很多人表示
转自知乎：Evi1m0，来自知道创宇，邪红色信息安全组织创始人
&今天（日）下午，互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝（我的余额宝撒）》的漏洞一炮打响，一时间各BBS、微博、微信、QQ群展开火热的讨论，很多人表示关心自己支付宝是否安全？有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。
首先回答大家最关心的问题，网络支付还安全吗？
当然今天所看到的只是某个漏洞提前曝光在了大家眼前，至于支付是否安全，我觉得这得需要服务提供商（公司）和用户共同来铸造，单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户，你怎么样守护他的安全？系统打好补丁，别上小网站下载乱七八糟的应用，先保证自己电脑以及安全意识没有那么低下，剩下的安全就交给服务提供商来做吧！好在近几年国内厂商安全意识有所提高。
这个问题只是网络安全漏洞世界中的冰山一角，为什么大家会那么关心这个问题，好多朋友甚至私信、短信我问这个问题？
其实说起来也很简单，因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天，你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的，比如他的论坛密码泄露？通知他说：“你某论坛密码泄露了，修改一下吧”他会很无所谓的告诉你：“泄露就泄露吧，反正没多大事，实在不行重新注册一个”
爱财之心，人皆有之。这个漏洞引发了不少人的恐慌，好在我支付宝没绑定银行卡，余额宝更是没有钱，索性好好的分析一下这个漏洞的详细情况。
漏洞详情？威胁究竟如何？
下午14:20 Wooyun平台上爆出这个漏洞，截止到16:00已经修复，当然大家不知道这个漏洞也许存在并被利用很久了，前面说过了，只是浮出水面的一角。
14:25分的时候我收到一封来自这里姑且称之为“L”的邮件，提供给了我漏洞详情，称漏洞快被修复了让我拿来研究一下，看完之后真是娇躯一震。
邮件内容只有一句话：site: inurl:login_by_safe, about wy. L
但是就是这样一句话，想必就是白/黑帽子梦寐以求的东西，现在漏洞已经Fix，当然这篇文章全文都是我编的，不用太在意。
后面就好办了，于是我们进行的简单的GoogleHack：
/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=
上面就是结果页的URL，写到这里我有点儿编不下去了，便把user_num_id的值打了星星符号，这个漏洞是这样的，搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户，再从淘宝可以跳到支付宝，当然不需要登录。
于是后面我又把这个URL进行了“分解”：
/member/login_by_safe.htm?
&c_is_scure=
&from=tbTop
&style=default
&minipara=
&css_style=
&tpl_redirect_url=
&callback=jsonp97
&is_ignore=
&trust_alipay=
&full_redirect=
&user_num_id=*********
&need_sign=
&from_encoding=%810%851_duplite_str=
&sign=&ll=
后来又对比了几个，发现其中不同的仅是callback与user_num_id，callback不用理睬，也就是我们可以通过遍历user_num_id便能登陆任意账户。
其实一旦支付宝账户像这样的方式泄露，用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏，哎，这事又怪不得用户。不过阿里这次能给国内网民提个醒，注意注意安全！当然有好多朋友提出这样的疑问：“他又不知道我的转账密码，所以还是没问题啊，一点儿表示不担心”。像遇到这种人只能笑而不语，其实支付宝是有个小额免密的功能的，那么大数据用户面前来几百万个小额免密的用户，黑产小伙们就笑了。
哦，对了，不知道黑产小哥们玩了多久这个漏洞了。
类似的漏洞有没有？
下午redrain（信息安全爱好者）和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞，但没有今天如此严重，还好留下两张历史图片：
其实这种漏洞在某些地方还是蛮多的，如果你认为所有漏洞都会披露到互联网水面上，那就太天真了。
支付安全中另外一种很常见的攻击手法就是钓鱼了，这种钓鱼普遍发生在高档咖啡厅，黑客采用定点攻击，搭建WIFI热点让其用户连接监听用户所有流量包进行劫持，这两天会发表一篇关于DNS劫持的文章，他们之间有异曲同工之妙的联系。
16:40分时，淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币：
甲方公司这样的态度令人称赞，让我们共同呼吁铸造安全互联网！
说到底，用户怎么样才能保证自己的支付安全？
1、开启短信验证码支付
2、手机支付的话开启手势支付
3、绑定数字证书
4、不链接陌生的Wifi
5、使用复杂密码（重要网站使用独立密码）
6、没有必要的话手机不要越狱或者Root
安全是一个整体，单线安全注定不安全，这就需要服务商与我们共同的安全意识。
对了，刚刚“L”发给了我一张图：
(责任编辑：简单的工作室)
------分隔线----------------------------
谷歌上不去了，对一般网民影响不会太大，但针对一些IT从业者可能会有一定影响，今天不...
今天闲来无事，准备优化下站长资源的博客了。主要是在网站增加新浪微博，腾讯微博和腾...
如图所示 新版本的FOXMAIL界面是很简介的文件、工具等栏目不见了。 最近准备新增几个...
现在的机器人做得越来越像人类，几年前日本就开发出了仿真的机器人，也许在未来几年内...
Ryan Gallagher和Glenn Greenwald引用前NSA合同工Edward Snowden 泄漏的机密文件报导...
据国外媒体报道，3D摄像技术正取得进展，其应用场景广泛，从游戏到零售再到房产。这也...支付宝余额宝亲密付怎么用_百度知道
支付宝余额宝亲密付怎么用
提问者采纳
开通方法/步骤更新支付宝钱包8.3 后进入就可以看到亲密付这一项，点击进入。再点击【为TA开通】如果你是LP的身份则可以点击【求开通】，方法是一样的只是结果是反着来的。输入支付宝的账号。点击【下一步】。再输入每个月能设置为TA网购额度上限。点击【开通】此时会提示让你输入密码，这个密码不是支付宝支付密码，是手机的支付宝密码。注：我的是手机支付密码，如果没有开通手机密码支付功能则输入的是支付密码。设置完成后，我们可以直接去淘宝购物选择付款方式的时候选择亲密付支付成功所扣除的钱不是你的钱，是为你开通亲密付的钱。并且每一笔支付都是有系统提示的哦！
提问者评价
其他类似问题
为您推荐：
支付宝余额的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁&股票/基金&
&个人门户&
近日，支付宝与天弘基金共同推出可买基金的“余额宝”，一时成为市场焦点。
在多家的言论中，赞扬者居多，称余额宝躺着也能赚钱，最具诱惑力的论调就是，10万资金存入余额宝年收益近4000，而10万资金一年活期存款的收益不过350元！
殊不知，在各项金融监管政策之下的余额宝，浮华背后已经是暗涌流动。
热点话题天弘支付宝结缘 余额宝忽悠了谁
2013年第30期
　　焦瑾璞指出，长期以来，我们国家对金融业的监管实行的是以分业监管为特点，金融机构为重心的监管模式。这种监管模式在应对一些危机方面是有效快捷的，但是长期下去，对金融行为的监管就会比较薄弱。
　　“竞争对手之间的互掐是常有的事。” 中投顾问金融行业研究员霍肖桦表示，余额宝遭到竞争对手的“打击”极有可能。但目前，互联网金融创新过程中，需要相关部门、行业协会、企业等携手合作，将整个市场做大、使之规范化、良性、健康发展。
证监会新闻发言人21日表示，支付宝于2012年完成了基金销售支付机构的相关备案并开展相关业务，但此次支付宝“余额宝”业务中有部分基金销售支付结算账户并未向监管部门进行备案，也未能向监管部门提交监督银行的监督协议，违反了有关规定。
余额宝运作模式待考
余额宝背后
提供了诸多深入到细节的服务，却不收取尾随佣金，除此之外，支付宝推出余额宝还意味着一部分确定性收入的降低。而在其他金融和商业机构看来，提高用户“黏性”是支付宝推出余额宝的目的所在，尽管支付宝牺牲了部分短期利益，但可能换来的是其资金量的不断壮大。
如果你使用余额宝之后会有更多的收益，也是牺牲流动性换来的，支持余额宝的支付宝既不能完全代替银行账户，也不能全方位胜出银行账户。
“阿里金融就是个喜欢噱头的公司，什么余额宝，跟银行抢生意。扯淡么。第一本质余额宝是利用支付宝余额购买货币基金的行为。用这个跟银行活期比利息?!有点脑子好不好!第二余额宝的规模大小取决于货币基金的规模大小，阿里本身不能决定。而且最重要的对基金公司的流动性要求很高，会出现亏损!”
争议一：是否有那么高的收益
根据其官方介绍，2012年，10万元活期储蓄利息350元，如通过余额宝收益能超过4000元。
余额宝的收益其实是购买天弘基金的增利宝的货币基金的行为，实质是一项投资，而投资所形成的投资收益，必然是带风险特征。
一旦理解了余额宝是投资收益，也就能明白所谓的收益高低，事实上就是要取决于货币基金的管理方能否实现这个收益了。事实上货币基金的收益率其实也是要进行区分的。
争议二：销售基金存在违规嫌疑
从目前官方宣传口径来看是天弘基金通过支付宝直销基金，但天弘基金依然是利用第三方--支付宝用户数据和平台进行基金销售，客户并不属于天弘基金，在支付宝上卖基金模式不就是代销基金行为？支付宝尚未取得基金销售牌照，只有结算资格，这是否是违规销售？
阿里小微金服集团国内事业群总裁樊治铭表示：“余额宝”实际上是将基金公司的基金直销系统内置到支付宝网站中，用户将资金转入“余额宝”的过程中，支付宝和基金公司通过系统的对接将一站式为用户完成基金开户、基金购买等过程。
争议三：是否存在风险
值得注意的是，支付宝在对用户进行宣传的过程中扩大余额宝赚钱功能，而对其风险提示不足。“今天上了支付宝看了下，并没有明显的风险提示，按照公募基金管理办法，这种行为肯定有问题。难道货币基金就没有任何风险？”一位投资者在网络上提出了自己的质疑。
货币基金主要投资于短期货币工具如国库券、商业票据、银行定期存单、政府短期债券、企业债券等安全性高、收益稳定的短期有价证券，但也并非稳赚不赔。货币型基金的亏损在国内屡有案例，单日亏损的案例和三日亏损的案例都曾出现过，所以余额宝做出风险提示很有必要。
争议四：余额宝的创新点在哪
经常用支付宝在淘宝购物的网购达人们，登录支付宝后可以发现：“账户余额”下面多出个“余额宝”，而如果点击选择 “导入”余额宝，也就相当于将支付宝中没花完的零钱购买了货币基金。
余额宝的实质是用支付宝的余额进行购买货币基金的行为，这个行为不知道创新点在那里？他跟你用你银行卡里的钱购买货币基金行为是一样的。按照这个理解，我们用我们手机卡里的钱，购买货币基金，或者用其他预付卡购买货币基金都是一个道理，是阿里对自身客户进行结构优化的一个策略，创新点在哪里？在于支付宝的客户也可以买基金了？一直就可以买，啥时候不让买了？
争议五：是否会对银行造成冲击
一定程度上危及银行利益
余额宝的上线，一定程度上会危及银行的利益。对此，一位银行分行人士在接受媒体采访时称：“支付宝一直没法给用户支付利息，这是限制它们资金规模的一个重要因素，在我们看来，余额宝是希望通过货币基金高于银行利息的收益，吸引更多客户将资金从银行转移至支付宝。”
基金业资深人士王群航对和讯表示：银行威胁论有点危言耸听，余额宝瞄准的是零钱，用户大资金还是会沉淀在银行、股票市场或基金公司，余额宝的特点是户数多，金额小，不会形成与银行形成直接竞争。而且只要客户规模足够大，而金额小，大规模赎回风险小，货币基金稳定性高。
　　的确，余额宝的问世，解决了支付宝沉淀资金的收益难题。在高于银行存款收益10倍的光环之下，余额宝的潜力不可限量。殊不知，余额宝高收益的浮华背后，暗藏政策风险和竞争风险，这是支付宝和媒体必须面对的问题。不要一味炒作余额宝的商业前景，而忽略了风险。
1.您如何看待余额宝
一个很有创意的产品
一个忽悠人的产品
有部分创新，但被过分吹捧
2.您会使用余额宝吗
不好说，先看看其他人的使用情况
一场由高层发起的监管风暴正广泛影响市场，债市黑金渐浮水面。
套利资金演绎“窃股风云”,博时200ETF失守美的电器。
中小投资者缺乏有效的做空工具，这类创新产品将填补这一空白。
基金经理们将怎样总结2012年，仓位如何，对2013年又是怎样看的呢？
新基金法将于日正式实施,进行了多项重大的制度创新。
证监会20日公布了《私募证券投资基金业务管理暂行办法》，以规范私募基金业务活动。
但斌和黄生在微博上隔空对决茅台走势。
孰料被基金抱团取暖白酒板块，成为年末关键时期掣肘业绩排名核心因素。
正如此前市场所传，不想再做公募的王亚伟选择了私募。
私募邹涛先生就经济学家韩志国表示对当前股市悲观一事约战。
私募仅需向基金业协会备案的消息让业界倍感兴奋。
39家基金公司上半年共计实现利润554.88亿元。
(06/21 15:53)(06/21 01:32)(06/20 00:46)(06/19 00:14)(06/18 15:35)(06/18 02:30)(06/18 02:19)(06/18 01:22)(06/17 23:55)(06/17 11:05)(06/16 02:51)
(09/01 07:47)(08/31 13:17)(08/29 08:56)(08/29 04:41)(08/28 16:39)(08/28 16:36)(08/28 16:33)(08/28 16:33)(08/28 16:29)(08/27 18:41)(08/27 18:31)(08/27 18:28)(08/27 18:26)(08/27 18:23)(08/27 06:09)(08/26 11:40)(08/25 11:28)(08/25 06:09)(08/25 06:06)(08/24 18:21)(08/24 03:03)(08/24 02:57)(08/24 02:52)(08/21 11:39)(08/20 01:03)(08/19 08:34)(08/17 02:15)(08/17 02:14)(08/14 06:10)(08/14 02:27)(08/13 07:45)(08/13 06:50)(08/11 15:08)(08/11 07:42)(08/11 07:40)(08/10 18:31)(08/10 17:53)(08/10 16:39)(08/10 13:56)(08/10 11:27)支付宝的余额宝收益如何？_百度知道
支付宝的余额宝收益如何？
提问者采纳
5%收益左右，比存一年银行定期利息要高！很给力，正能量，帮忙千万屌丝理财或财富增长，也是抗通货膨涨，零整存，零整取的利器。
提问者评价
太给力了，你的回答完美解决了我的问题！
其他类似问题
为您推荐：
其他1条回答
余额宝的收益是浮动的。所谓收益浮动指的是收益没有确定性，余额宝每天分配一次收益，所以我们很直观的看到它每天都在发生着变化。利息没办法计算，因为每天的收益是不同的。收益的计算——你转入月报的资金除以10000再乘以当天基金公司公布的每万份收益。
支付宝的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁