JSON应用:判断支付宝是否登录
专注XSS三十年 | 2014-12-31 03:16
通过JSON判断登录状态
https://lab.alipay.com/user/msgcenter/getMsgInfosNew.json?_callback=xss&_input_charset=utf-8&ctoken=222&_=1419965709755
已登录:
zozi({"popMsg":false,"infos":[],"totalCount":6,"stat":"ok","isRead":false})
未登录:
zozi({"target":"https://auth.alipay.com/login/index.htm?goto=","stat":"deny"})
支付宝里有很多类似的JSON,虽然请求里加了ctoken这个参数,但是实际上并没有验证。
通过返回值判断是否登录给予不同提示,再配合收款页面,可以实现支付宝即时到帐接口的完整功能。
相关讨论:
1#
shellme | 2014-12-31 04:19
相关软件很多,有个问题是那些软件是如何保持登录不断开的呢。没用过,不大了解。
2#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-12-31 14:38
good jb!
3#
北洋贱队 | 2014-12-31 16:10
我草 坑爹啊
xss({"popMsg":true,"infos":[{"content":"恭喜您,您已成功投保账户安全险,点击查看保单详情!","id":"*************","level":"1","sendDate":"","sendTime":"","title":"投保成功提醒","url":"https://baoxian.alipay.com/zhx/join.htm?click_from=LETTER&_bdType=********************"}],"totalCount":1,"stat":"ok","isRead":false})
坑了爹1块钱的保险费,谨慎访问
4#
jeffreys125 | 2015-01-01 08:48
@北洋贱队 笑了
5#
RainShine (等一个人三年是愚蠢的)(抱歉我本不应该等的。) | 2015-01-01 11:04
@北洋贱队 笑了
6#
围剿 | 2015-01-01 15:54
@北洋贱队 笑了
7#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2015-01-01 19:12
@北洋贱队 笑了