记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华
Evi1m0，来自知道创宇，邪红色信息安全组织创始人知乎用户、刘筱羽、Daniel 等人赞同今天（日）下午，互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝（我的余额宝撒）》的漏洞一炮打响，一时间各BBS、微博、微信、QQ群展开火热的讨论，很多人表示关心自己支付宝是否安全？有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。 首先回答大家最关心的问题，网络支付还安全吗？ 当然今天所看到的只是某个漏洞提前曝光在了大家眼前，至于支付是否安全，我觉得这得需要服务提供商（公司）和用户共同来铸造，单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户，你怎么样守护他的安全？系统打好补丁，别上小网站下载乱七八糟的应用，先保证自己电脑以及安全意识没有那么低下，剩下的安全就交给服务提供商来做吧！好在近几年国内厂商安全意识有所提高。这个问题只是网络安全漏洞世界中的冰山一角，为什么大家会那么关心这个问题，好多朋友甚至私信、短信我问这个问题？其实说起来也很简单，因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天，你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的，比如他的论坛密码泄露？通知他说：“你某论坛密码泄露了，修改一下吧”他会很无所谓的告诉你：“泄露就泄露吧，反正没多大事，实在不行重新注册一个”爱财之心，人皆有之。这个漏洞引发了不少人的恐慌，好在我支付宝没绑定银行卡，余额宝更是没有钱，索性好好的分析一下这个漏洞的详细情况。漏洞详情？威胁究竟如何？ 下午14:20 Wooyun平台上爆出这个漏洞，截止到16:00已经修复，当然大家不知道这个漏洞也许存在并被利用很久了，前面说过了，只是浮出水面的一角。14:25分的时候我收到一封来自这里姑且称之为“L”的邮件，提供给了我漏洞详情，称漏洞快被修复了让我拿来研究一下，看完之后真是娇躯一震。 邮件内容只有一句话：site:http:// inurl:login_by_safe, about wy. L 但是就是这样一句话，想必就是白/黑帽子梦寐以求的东西，现在漏洞已经Fix，当然这篇文章全文都是我编的，不用太在意。后面就好办了，于是我们进行的简单的GoogleHack： /member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=上面就是结果页的URL，写到这里我有点儿编不下去了，便把user_num_id的值打了星星符号，这个漏洞是这样的，搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户，再从淘宝可以跳到支付宝，当然不需要登录。 于是后面我又把这个URL进行了“分解”：/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=后来又对比了几个，发现其中不同的仅是callback与user_num_id，callback不用理睬，也就是我们可以通过遍历user_num_id便能登陆任意账户。 其实一旦支付宝账户像这样的方式泄露，用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏，哎，这事又怪不得用户。不过阿里这次能给国内网民提个醒，注意注意安全！当然有好多朋友提出这样的疑问：“他又不知道我的转账密码，所以还是没问题啊，一点儿表示不担心”。像遇到这种人只能笑而不语，其实支付宝是有个小额免密的功能的，那么大数据用户面前来几百万个小额免密的用户，黑产小伙们就笑了。哦，对了，不知道黑产小哥们玩了多久这个漏洞了。类似的漏洞有没有？ 下午redrain（信息安全爱好者）和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞，但没有今天如此严重，还好留下两张历史图片：
其实这种漏洞在某些地方还是蛮多的，如果你认为所有漏洞都会披露到互联网水面上，那就太天真了。支付安全中另外一种很常见的攻击手法就是钓鱼了，这种钓鱼普遍发生在高档咖啡厅，黑客采用定点攻击，搭建WIFI热点让其用户连接监听用户所有流量包进行劫持，这两天会发表一篇关于DNS劫持的文章，他们之间有异曲同工之妙的联系。官方表态 16:40分时，淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币： 甲方公司这样的态度令人称赞，让我们共同呼吁铸造安全互联网！最终结论 说到底，用户怎么样才能保证自己的支付安全？1、开启短信验证码支付 2、手机支付的话开启手势支付 3、绑定数字证书 4、不链接陌生的Wifi 5、使用复杂密码（重要网站使用独立密码） 6、没有必要的话手机不要越狱或者Root 7、... 安全是一个整体，单线安全注定不安全，这就需要服务商与我们共同的安全意识。对了，刚刚“L”发给了我一张图：
小伙伴们的各种吐槽： 知乎用户，程序员 贷款算法 数据库 Oracle DB2 SyBa…tinyhill、TurboV10、jean huang 等人赞同不担心。没有任何一款产品是绝对安全的。包括各个银行的网银，各种支付系统。五角大楼都可以被攻破，何况是淘宝？关键问题是：1：攻击者要付出什么样的攻击代价。 2：出了问题以后，服务商如何解决。 出了问题不逃避，而且认真解决就是可以放心的。昨天 19:02 7 条评论刘拒拒，珍惜这份来之不易知乎用户、高鑫、刘闽晟 等人赞同我的三十块钱可要赶快取出来！昨天 20:34 1 条评论匿名用户可可mars、高鑫、van E 赞同呵呵，有多少用户跟我一样是“被”小额免密的？08:21知乎用户，懂点dev会点ops加点sec王晗、马宏菩 赞同担心信息泄露吧，至于钱是转不走的昨天 15:29 3 条评论吃屎不忘拉屎人，在中国，活着就是修行！知乎用户 赞同我觉得怎么可能没有转钱走的，淘宝撒谎了，如果我是做黑产的，得到这个漏洞，首先，写一个脚本，遍历uid并且获取余额，入库，排序，把余额高的排在前面，降序排列，既然能进账户，那就差支付密码，有动态验证和手机的直接跳过，支付宝转账到支付宝只需要支付密码，进入账户，能看到邮箱啊，用户名，手机什么的，大数据时代数据库一下，三次机会还是有很多中招的。08:13 4 条评论小书人对于问题及时改正，并坦诚相待的态度令顾客安心。只是对于我这样的小人物来说技术的威力真令人勃起，奋斗。昨天 21:54匿名用户不担心，电脑没有数字证书，自己有支付密码也没法买东西，每次重装系统都要短信验证一下。小额免密是要账号达到一定安全级别才支持的。不要人云亦云。在心中YY如何如何。人家都说了这次是泄露用户信息的漏洞。09:02知乎用户，alert('XSS')没有绝对的安全。09:17zhishen lu，null敢用我们就敢赔--------------这是态度。09:34庄少鹏，诚实守信，与人为善！支持支付宝态度。细节也很精彩，good！！！昨天 22:48乌云基友们吐槽：
1#小胖子 (在中国，活着就是修行。) |
15:01没有职业道德啊。2#园长 (你在身边就是缘，缘分写在数据库里面。) |
15:13@小胖子 逼小胖子为C3#黑色的屌丝 |
15:27我的支付宝都没有钱4#冷静 (黑客大黑客超级黑客黑客王，这就是我的梦想。。。。。) |
15:41现在还可以吗5#中国公民 (恩？) |
15:57微博上这个 互联网那点事 是谁啊？ 好像很屌。6#雨路 (卡牌大师刘谦、大发明家爱迪生、首领之傲金三胖、不祥之刃小彩旗、探险家贝尔格里尔斯、复仇燃魂邱少云、死亡颂唱者龚琳娜、爆破鬼才董存瑞、法外狂徒周克华、武器大师马加爵、机械先驱乔布斯、荆棘之兴袁隆平、黑暗之女林妙可、无极剑圣药家鑫、寡妇制造者陈冠希、深渊巨口姚晨、迅捷斥候郭敬明等117名英雄都觉得很赞！) |
16:41还好支付宝都没钱7#f4tb0y (隆) |
16:50支付宝同没钱的路过8#乌云? |
16:58感觉上，像是炒作？9#MeirLin () |
17:01@乌云? 谁对此受益?10#永久VIP (我注册了一个账号，但他变成了VIP！) |
17:01什么是支付宝？11#乌云? |
17:02@MeirLin 发布者啊，，粉丝又多了N+12#MeirLin () |
17:07@乌云? 为嘛我感觉腾讯的“理财通”因此收益了呢? 他们有直接竞争关系呀 淘宝爆如此严重的漏洞，再加上各方媒体大肆炒作，名誉肯定受损失~ 13#丁崽 |
17:15搞 双方黑客使劲搞14#奎尼 (&///&"') |
17:28写个脚本批量拖用户数据？ 15#霸气帝王攻 |
17:31疼讯安排员工做淘宝的测试？？？16#TellYouThat |
17:37补个链接 另外求乌云漏洞链接17#乌云? |
17:47@TellYouThat 那玩意是12年的了，纯粹是为了吸引眼球的18#无敌L.t.H (:?门安天京北爱我?) |
18:01先试试这个，看雷布斯赚了多少黑心钱。19#豆芽 (不忘初心，方得始终，想想当初来乌云是为了什么) |
19:02@无敌L.t.H +120#龙辰 (头像我女神) |
19:42那么牛逼。21#乌云? |
20:53@xsser @Finger @园长 求公开！好奇的不得了！！！22#斯文的鸡蛋 (顿时我就傻逼了) |
21:02当内行遇到娱乐圈，呵呵23#最热微博 (我的钢笔是黑的!) |
21:14奖励发现者 rmb5万24#园长 (你在身边就是缘，缘分写在数据库里面。) |
22:11@乌云? /question/25#高斯 |
23:02大数据！！26#jeary ((:?？办么怎，了多越来越法方象抽的我)) |
23:30@园长 怎么感觉这漏洞有点奇葩，比之前QQ的key还奇葩，别人至少还有失效时间.. 说不定有人已经遍历出了所有数据？坐等裤子浮出水面.. 27#小胖子 (在中国，活着就是修行。) |
23:35@园长 我觉得怎么可能没有转钱走的，淘宝撒谎了，如果我是做黑产的，得到这个漏洞，首先，写一个脚本，遍历uid并且获取余额，入库，排序，把余额高的排在前面，降序排列，既然能进账户，那就差支付密码，有动态验证和手机的直接跳过，支付宝转账到支付宝只需要支付密码，进入相互，邮箱啊 ，用户名，大数据时代数据库一下，三次机会还是有很多中招的。 28#倒霉熊 (谁知女人心，园长卫生巾。) |
23:51@小胖子 你不做嘿产太可惜了～！～29#saber (终极屌丝之路~) |
01:44@倒霉熊 其实他就是黑产牛！30#小胖子 (在中国，活着就是修行。) |
08:12@saber 那我就呵呵思密达了。31#Vigoss_Z |
08:48@小胖子 小额免密，遍历个3、5百万个，一个一块。 太邪恶了太邪恶了32#小乐天 (小白一枚) |
09:11肯定有人这么干了，还好没钱33#z7y (谁知女人心，园长卫生巾。) |
09:18@小胖子 膜拜小胖子狗嘿铲牛！！么么哒。。。。。哈哈哈哈哈哈34# (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) |
09:26。。。。。。35#国士无双 (我来找快乐。) |
09:32嘿铲牛!资料摘自：
阅读:165439 | 评论:0 | 标签:无
想收藏或者和大家分享这篇好文章→
关注公众号hackdig，学习最新黑客技术关注公众号查看: 240|回复: 0
QQ理财通如何提现 QQ理财通提现教程详解
兑换券0 元
在线时间0 小时
木蚂蚁M点0
主题帖子积分
发表于 4&天前
QQ理财通如何提现？QQ理财通是QQ里面的钱财管理软件，QQ通过一些活动和任务也是可以领取一些红包的，那么QQ理财通如何提现呢？快和小编一起来看看吧！
QQ理财通提现教程：
1、打开手机QQ -& 点击头像 -& 点击【钱包】
2、点击【资金·理财】
3、在弹出的文件夹里点【理财通】
4、点击【我的】 -& 【我的资产】
5、点击我们在理财通上购买的业务，一般是“汇添富基金全额宝”，也可能有多个
6、点击【转出】，输入金额等信息即可。
好了，以上就是QQ理财通如何提现 QQ理财通提现教程详解的介绍了，更多资讯，请继续关注木蚂蚁！
上一篇：下一篇：
兑换券19 元
在线时间0 小时
木蚂蚁M点0
主题帖子积分
木蚂蚁学前班, 积分 38, 距离下一级还需 12 积分
木蚂蚁学前班, 积分 38, 距离下一级还需 12 积分
发表于 4&天前
好帖子，要顶！
兑换券6 元
在线时间0 小时
木蚂蚁M点0
主题帖子积分
木蚂蚁学前班, 积分 12, 距离下一级还需 38 积分
木蚂蚁学前班, 积分 12, 距离下一级还需 38 积分
发表于 4&天前
不错，感谢楼主
兑换券50 元
在线时间0 小时
木蚂蚁M点0
主题帖子积分
木蚂蚁小学二年级, 积分 126, 距离下一级还需 74 积分
木蚂蚁小学二年级, 积分 126, 距离下一级还需 74 积分
发表于 4&天前
不错，感谢楼主
兑换券20 元
在线时间0 小时
木蚂蚁M点0
主题帖子积分
木蚂蚁小学一年级, 积分 80, 距离下一级还需 20 积分
木蚂蚁小学一年级, 积分 80, 距离下一级还需 20 积分
发表于 4&天前
好啊终于有了啊
兑换券23 元
在线时间0 小时
木蚂蚁M点0
主题帖子积分
木蚂蚁学前班, 积分 46, 距离下一级还需 4 积分
木蚂蚁学前班, 积分 46, 距离下一级还需 4 积分
发表于 4&天前
兑换券16 元
在线时间0 小时
木蚂蚁M点0
主题帖子积分
木蚂蚁学前班, 积分 30, 距离下一级还需 20 积分
木蚂蚁学前班, 积分 30, 距离下一级还需 20 积分
发表于 4&天前
严重支持！
兑换券8 元
在线时间0 小时
木蚂蚁M点0
主题帖子积分
木蚂蚁学前班, 积分 48, 距离下一级还需 2 积分
木蚂蚁学前班, 积分 48, 距离下一级还需 2 积分
发表于 4&天前
必须支持！！！
兑换券13 元
在线时间0 小时
木蚂蚁M点0
主题帖子积分
木蚂蚁学前班, 积分 28, 距离下一级还需 22 积分
木蚂蚁学前班, 积分 28, 距离下一级还需 22 积分
发表于 4&天前
有没有广告？
兑换券15 元
在线时间0 小时
木蚂蚁M点0
主题帖子积分
木蚂蚁学前班, 积分 28, 距离下一级还需 22 积分
木蚂蚁学前班, 积分 28, 距离下一级还需 22 积分
发表于 3&天前
发帖快速，发帖先锋
新锐会员勋章
发帖够1000后，可以申请获得
骨干会员勋章
发帖满5000后，可以申请获得
推荐版块：
&nbsp&nbsp|&nbsp&nbsp
&nbsp&nbsp|&nbsp&nbsp
&nbsp&nbsp|&nbsp&nbsp
&nbsp&nbsp|&nbsp&nbsp
&nbsp&nbsp|&nbsp&nbsp
&nbsp&nbsp&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp|&nbsp&nbsp
&nbsp&nbsp|&nbsp&nbsp
&nbsp&nbsp|&nbsp&nbsp
&nbsp&nbsp|&nbsp&nbsp
&nbsp&nbsp|&nbsp&nbsp
&nbsp&nbsp&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp
&nbsp&nbsp
木蚂蚁官方微信:微信原始ID怎么获得?
关注图老师电脑网络栏目可以让大家能更好的了解电脑,知道有关于电脑的更多有趣教程，今天给大家分享微信原始ID怎么获得?教程,希望对大家能有一点小小的帮助。
微信原始ID怎么获得?&　　1.首先登录微信公众平台,点设置　　2.你需要的信息都在这里　　3.微信原始账号的获取方法& 搜索“图老师”或者“tulaoshi_com”加关注，每天最新的美食、健康、育儿、美妆、、手工DIY等生活小技巧，30天变身小巧妇!【微信扫描下图可直接关注】
来源:/n/7847.html
微信怎么玩啊,手机微信怎么玩 说到腾讯微信，相信大家对它的评价是褒贬不一，其实微信这款软件早在很久以前就已经推出，但早期的微信只融合了文字与图片的传输，但随着Talkbox的成功后，腾讯迅速将语音加入到了微信中，使其功能更加完善。在这里，我们不去评价是否腾讯微信有抄袭Talkbox之嫌疑，只对微信这款软件的体验做介绍。 ...
微信微商城怎么开通 微信微商城开通教程 & 微商城是微信准备进入电子商务的一个模式了，虽然说这个做起来不怎么好但也有不少的商家进驻了微商城了，那么微信微商城怎么开通?如果各位不懂可以和小编一起来学习一下吧。 条件： 如果你想做微商城就必须要有一个公众平台的公众号了，这个大家可以去申请几百块钱一年了，以前是免费...
进入微信界面 点击界面 & &点击我，也可以点击右上角的三个竖点。 找到设置 & &然后找到设置，如下图所示。 找到“关于微信” 显示微信版本 & &上面会显示微信的版本，如果是最新版本就不用更新。 检查新版本 提示下载 & &没有最新版本的话，会提示你下载的。 更...
微信公众账号怎么开通微信商城？ & 微商城是基于当前很受欢迎的微信的一种传媒方式中的一种商业运用，微信的当前的火热是一个商机，基于微信的传播速度，及其简便等优点，为商家提供一个平台，在这个更简便的、方便的平台里进行更为现代的电子商务。同时在利用微信的这个平台也可以为商家提供更有效的宣传方式，更有利于商品的推广。 ...
微信人家的拆礼盒有着一吸引粉丝的效应，通过礼盒效应可以迅速聚集人气，让更多的粉丝关住你的商品，下面小编就为大家介绍一下微信人家怎么做微信拆礼盒 1、首先我们登录微信人家的网站，拆礼盒之前我们账号是需要进行绑定的，大家如果还没有进行绑定不妨看看小编的这篇教程/infoview/Article_7625...