|
在不知道密码的情况下,如果你处在“可信环境”,通过验证已购买的商品或者相关信息来修改登录密码,的确可行。 天啊,你不是说是炒作么,怎么又说的确可行了呢?这么可怕的漏洞,支付宝为什么坐视不管呢?支付宝究竟还能不能用了啊?别急,今天来给你好好分析一下,这到底是怎样一回事。 首先,我们的结论是“的确可行”,但是可行的意思并不是百分百可行。有点绕,什么意思呢?意思就是说:存在利用这种方式进行修改密码的可能性,但并不是说就一定能够通过这样的方式成功修改密码。 网上到处都在说这个漏洞的问题。那我们就先来实际操作一下,看看网上说的支付宝重置密码漏洞到底是怎样一个操作流程: ① 首先点击“忘记密码” ② 输入账号后,等待接收验证短信 选择无法接收短信 ③ 点击无法接收验证码后,通过选择你所购买的商品即可通过验证 选择购买过的商品 ④ 修改密码成功 真的就这么简单就能成功修改密码么? 答案是:YES。的确,在可信环境下,可以通过验证已购买商品、点选认识的人、连过的wifi名称等简单的信息来修改支付宝的登陆密码。但是请注意,上述的一切前提都必须是在“可信环境”下,才能够完成。那么,什么是可信环境?它究竟有什么用呢? 在我们对支付宝重置密码功能进行多次测试后,我们发现支付宝重置密码时所需要的信息并不是网上所说的这么简单,测试结果如下: 忘记密码的操作验证 图片太复杂,直接上结论: ① 获得手机验证码后,能直接修改密码 ② 可信环境下,获得基本信息,能直接修改密码 ③ 不可信环境下,需要详细信息,才能修改密码 本次网络上热议的“支付宝漏洞”,其实是讨论的第二条,即:可信环境下的熟人偷盗行为。如同事之间,或者家人之间,相同的网络环境下或者坐标,就常处于一种可信环境。 当你处在可信环境下时,支付宝会认为你的重置密码请求有很大程度是你本人发起的。在这种情况下,为了用户体验和安全的平衡,重置密码所需的信息就仅仅需要一些基本信息即可重置。 从某种程度上来讲,这应该算是一种业务风险,而不能算作是一种漏洞。支付宝作为一种涉及资金安全的支付工具,在验证的信息上面,还是应该做到尽可能的复杂一点好。 |
|
|
