搜索
查看: 3052|回复: 0

2月17日支付宝余额宝再次爆出重大安全漏洞

[复制链接]

432

主题

573

帖子

2543

积分

核心成员

Rank: 8Rank: 8

积分
2543
发表于 2014-2-27 12:18:48 | 显示全部楼层 |阅读模式

互联网安全警报平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝(我的余额宝撒)》的漏洞一炮打响,一时间各BBS、微博、微信、QQ群展开火热的讨论,很多人表示关心自己支付宝是否安全?有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。

首先回答大家最关心的问题,网络支付还安全吗?

当然今天所看到的只是某个漏洞提前曝光在了大家眼前,至于支付是否安全,我觉得这得需要服务提供商(公司)和用户共同来铸造,单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户,你怎么样守护他的安全?系统打好补丁,别上小网站下载乱七八糟的应用,先保证自己电脑以及安全意识没有那么低下,剩下的安全就交给服务提供商来做吧!好在近几年国内厂商安全意识有所提高。

这个问题只是网络安全漏洞世界中的冰山一角,为什么大家会那么关心这个问题,好多朋友甚至私信、短信我问这个问题?

其实说起来也很简单,因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天,你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的,比如他的论坛密码泄露?通知他说:“你某论坛密码泄露了,修改一下吧”他会很无所谓的告诉你:“泄露就泄露吧,反正没多大事,实在不行重新注册一个”

漏洞详情?威胁究竟如何?

2014-02-17下午14:20 Wooyun平台上爆出这个漏洞,截止到16:00已经修复,当然大家不知道这个漏洞也许存在并被利用很久了,前面说过了,只是浮出水面的一角。

14:25分的时候我收到一封来自这里姑且称之为“L”的邮件,提供给了我漏洞详情,称漏洞快被修复了让我拿来研究一下,看完之后真是娇躯一震。

邮件内容只有一句话:site:http://login.taobao.com inurl:login_by_safe, about wy. L

但是就是这样一句话,想必就是白/黑帽子梦寐以求的东西,现在漏洞已经Fix,当然这篇文章全文都是我编的,不用太在意。

说到底,用户怎么样才能保证自己的支付安全?

1、开启短信验证码支付

2、手机支付的话开启手势支付

3、绑定数字证书

4、不链接陌生的Wifi

5、使用复杂密码(重要网站使用独立密码)

6、没有必要的话手机不要越狱或者Root

安全是一个整体,单线安全注定不安全,这就需要服务商与我们共同的安全意识。


您可以更新记录, 让好友们知道您在做什么...
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表