个人认为微信支付存在的安全问题
p0di | 2014-02-14 16:50
在过去的一年中,互联网金融对的发展令人震jing。不论是网上银行、移动支付、三方支付、个人贷款都在迅速崛起。上年12月份个人初步探测了下微信支付,现在其他小伙伴也在陆续研究。
百科对微信支付的简介http://baike.baidu.com/link?url=yTUB8RXIwoiiso0C3-W2TTDMpYtvgHQF2VPdjbZ2gpZcI1RgWsQ-vT0Z3TZthW6
百科对微信支付讲解的很详细,不过个人测试发现微信支付和财付通是没关系的(新注册个QQ直接微信支付发现是不用开财付通的)。故此问下百度百科和腾讯:
财付通为微信支付提供了什么样的安全保障?财付通是三方支付,微信支付应该归属移动支付吧?不废话了
没学过java也不会对apk反编译,所以本屌丝只是从逻辑层面上看了下微信支付,个人意见觉得不可思议的潜在安全问题吧(亚安全),不能算作漏洞。
看百科微信支付流程:绑定--->验证--->设置支付密码--->消费。
看百科或者自己测试大企鹅怎样验证的:卡号、卡号相关的身份证号、银行办卡预留手机号(验证码)--->三者同时成立--->绑定成功--->消费。那么消费需要验证什么呢?支付密码其他什么都没有。用电脑重新注册个QQ开通微信按前面步骤做下去!你会发现,银行卡可以同时被多个微信绑定!不同的微信账号设置不同的支付密码!下面贴几个图说明测试消费过程,为了表明真实性,就不打码了。(大牛莫社)
以上两张图可以看出是不同手机,不同微信账号绑定的同一张银行卡,贴两张购买成功的。还没报销……
以上两张图也可以看出是不同手机支付成功并且成功的。
整个过程大家发现有什么疑问?我的当时的疑问:银行卡密码没涉及?多对多的绑定模式?
银行卡可能会被恶意绑定(全过程不涉及银行卡密码!卧槽!)+多对多的模式。。。。仅此两个我觉得造成了潜在的安全问题,想恶意刷去银行卡,困难环节仅仅在于手机验证码(6位)!其他信息社工比较容易搜集(可以对自己的同事下手,哈哈)一旦搞定手机(借收机打个电话、也有小伙伴说补卡)你钱就没了。小心同事借你手机打个电话你的银行卡上的钱就莫名其妙的少了…………
支付宝注册就限制了身份,更不用说自己的注册后被别人以此方式被非法绑定。大企鹅人群基数太大,也没限制没人注册一个QQ,因此就导致该问题。但是是不是可以从其他层次上去限制下这个问题呢。
另外,简单看了下微信银行发现许多都是在自身银行的wap进行,就是各自银行的事情了,数量多、还需要伪造生成证书比较麻烦,便没有深入。
ps:支付宝绑定过程比这个严密(其他小伙伴再搞具体不详绑定需要密码吗?)、都类似快捷支付吗?但你能解释全过程不交互密码是怎么回事吗?另外,一个微信绑定一个人的卡后,只能绑定本人的其他卡!经过我的测试小伙伴不能用微信支付了,因为我绑了下我的又取消了。他只能绑我信息的卡……
各种吐槽:
1#
VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@小胖子@z7y@nauscript|昨晚做梦梦见了一个ecshop注射0day,醒来后忘记在哪了。|预留广告位) | 2014-02-14 16:54
今天上午刚看了这篇文章,图居然和洞主的是一样的,真奇怪啊
http://www.freebuf.com/articles/wireless/25682.html
2#
咖啡 (乌云在我们心里搁下一块阴影我聆听沉寂已久的心情) | 2014-02-14 16:55
尊敬的用户您好:
您访问的网站被机房安全管理系统拦截,有可能是以下原因造成:
1.您的网站未备案,或者原备案号被取消。
2.域名在访问黑名单中。
3.其它原因造成的人为对您域名的拦截。
3#
p0di | 2014-02-14 16:56
@VIP 哈哈,小伙伴一起做的,我研究的微信银行!他做的支付宝,当然一样了。他之前说想发paper我就一直没发,他既然发出来,我便也在乌云发了,只不过只是自己研究的这一点。
4#
p0di | 2014-02-14 16:59
@VIP 上面显示我QQ @0x2b @淡漠天空可以为我作证。642247669
5#
萧然 (喜欢一切美的东西·) | 2014-02-14 17:00
@p0di @VIP vip什么都没说啊。。。。
6#
VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@小胖子@z7y@nauscript|昨晚做梦梦见了一个ecshop注射0day,醒来后忘记在哪了。|预留广告位) | 2014-02-14 17:00
@p0di 你想多了,我没那意思:D
7#
xsser (十根阳具有长短!!) | 2014-02-14 17:02
@p0di @二龙
8#
mango (待我乌币800万 姑娘嫁我可好) | 2014-02-14 17:23
前排收购SSD
9#
px1624 (aaaaaaaaa) | 2014-02-14 17:29
个人感觉只要是手机支付的东西都不安全,包括微信支付、手机支付宝、手机银行等
10#
p0di | 2014-02-14 17:59
@px1624 同感!所以,我不用这些东西。。。
11#
园长 (你在身边就是缘,缘分写在数据库里面。) | 2014-02-14 18:04
@瞌睡龙 -:)
12#
p0di | 2014-02-14 18:20
@园长 园长亲临啊!看园长一篇文章收获巨大啊!
13#
李旭敏 ((????????????????????????) | 2014-02-14 18:29
@瞌睡龙 知识库宣传的还不算太到位啊····
@xsser 希望投稿奖励稍微提升一点点,这样能鼓励大家投稿啊
14#
园长 (你在身边就是缘,缘分写在数据库里面。) | 2014-02-14 18:38
@p0di 我在召唤 @瞌睡龙 转到drops
15#
p0di | 2014-02-14 18:43
@园长 分析的太次,太不到位,没敢往drops发。
16#
px1624 (aaaaaaaaa) | 2014-02-14 18:56
@p0di 哈哈,所以手机上那些玩意我一个都没有开通!
17#
瞌睡龙 (<body onload=alert(1)>) | 2014-02-14 19:22
小伙伴私信一下QQ。。。@p0di
18#
小威 (呵呵复呵呵,女神敲回车!) | 2014-02-14 20:37
@mango SSD能卖多少钱
19#
Dennx (xxxxxxxx) | 2014-02-14 22:35
这个好像今天在哪看过,好熟悉
20#
mango (待我乌币800万 姑娘嫁我可好) | 2014-02-15 00:08
@小威 你的 120G的 貌似600块
21#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-02-16 10:22
。。。。。。
留言评论(旧系统):