互聯網安全警報平臺上一則名為《淘寶認證缺陷可登錄任意淘寶賬號及支付寶（我的余額寶撒）》的漏洞一炮打響，一時間各BBS、微博、微信、QQ群展開火熱的討論，很多人表示關心自己支付寶是否安全？有的白/黑帽子則更是關心漏洞的細節以及漏洞利用情況。

首先回答大家最關心的問題，網絡支付還安全嗎？

當然今天所看到的只是某個漏洞提前曝光在了大家眼前，至于支付是否安全，我覺得這得需要服務提供商（公司）和用戶共同來鑄造，單方面安全總是不行的。密碼全部是弱口令、123456、iloveyou123、qq123123的賬戶，你怎么樣守護他的安全？系統打好補丁，別上小網站下載亂七八糟的應用，先保證自己電腦以及安全意識沒有那么低下，剩下的安全就交給服務提供商來做吧！好在近幾年國內廠商安全意識有所提高。

這個問題只是網絡安全漏洞世界中的冰山一角，為什么大家會那么關心這個問題，好多朋友甚至私信、短信我問這個問題？

其實說起來也很簡單，因為這個問題威脅到他的個人財產了。國內網民安全意識普遍低下的今天，你不拿出點能夠威脅到他們金錢利益的東西他們是不會害怕的，比如他的論壇密碼泄露？通知他說：“你某論壇密碼泄露了，修改一下吧”他會很無所謂的告訴你：“泄露就泄露吧，反正沒多大事，實在不行重新注冊一個”

漏洞詳情？威脅究竟如何？

2014-02-17下午14:20 Wooyun平臺上爆出這個漏洞，截止到16:00已經修復，當然大家不知道這個漏洞也許存在并被利用很久了，前面說過了，只是浮出水面的一角。

14:25分的時候我收到一封來自這里姑且稱之為“L”的郵件，提供給了我漏洞詳情，稱漏洞快被修復了讓我拿來研究一下，看完之后真是嬌軀一震。

郵件內容只有一句話：site:http://login.taobao.com inurl:login_by_safe, about wy. L

但是就是這樣一句話，想必就是白/黑帽子夢寐以求的東西，現在漏洞已經Fix，當然這篇文章全文都是我編的，不用太在意。

后面就好辦了，于是我們進行的簡單的GoogleHack：

https://login.taobao.com/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=

上面就是結果頁的URL，寫到這里我有點兒編不下去了，便把user_num_id的值打了星星符號，這個漏洞是這樣的，搜索出來的結果我們點擊進去之后會自動進入對方的淘寶賬戶，再從淘寶可以跳到支付寶，當然不需要登錄。

于是后面我又把這個URL進行了“分解”：

https://login.taobao.com/member/login_by_safe.htm? sub= &guf= &c_is_scure= &from=tbTop &type=1 &style=default &minipara= &css_style= &tpl_redirect_url= &popid= &callback=jsonp97 &is_ignore= &trust_alipay= &full_redirect= &user_num_id=********* &need_sign= &from_encoding=%810%851_duplite_str= &sign=&ll=

后來又對比了幾個，發現其中不同的僅是callback與user_num_id，callback不用理睬，也就是我們可以通過遍歷user_num_id便能登陸任意賬戶。

其實一旦支付寶賬戶像這樣的方式泄露，用戶的物理位置、手機號、姓名以及很多隱私都會大量泄漏，哎，這事又怪不得用戶。不過阿里這次能給國內網民提個醒，注意注意安全！當然有好多朋友提出這樣的疑問：“他又不知道我的轉賬密碼，所以還是沒問題啊，一點兒表示不擔心”。像遇到這種人只能笑而不語，其實支付寶是有個小額免密的功能的，那么大數據用戶面前來幾百萬個小額免密的用戶，黑產小伙們就笑了。

哦，對了，不知道黑產小哥們玩了多久這個漏洞了。

類似的漏洞有沒有？

下午redrain（信息安全愛好者）和我聊天中說想起去年2月份左右支付寶出現過類似越權限的漏洞，但沒有今天如此嚴重，還好留下兩張歷史圖片：

其實這種漏洞在某些地方還是蠻多的，如果你認為所有漏洞都會披露到互聯網水面上，那就太天真了。

支付安全中另外一種很常見的攻擊手法就是釣魚了，這種釣魚普遍發生在高檔咖啡廳，黑客采用定點攻擊，搭建WIFI熱點讓其用戶連接監聽用戶所有流量包進行劫持，這兩天會發表一篇關于DNS劫持的文章，他們之間有異曲同工之妙的聯系。

官方表態

16:40分時，淘寶網壕風雄震在新浪微博致謝漏洞挖掘者5W元人民幣：

甲方公司這樣的態度令人稱贊，讓我們共同呼吁鑄造安全互聯網！

最終結論

說到底，用戶怎么樣才能保證自己的支付安全？

1、開啟短信驗證碼支付

2、手機支付的話開啟手勢支付

3、綁定數字證書

4、不鏈接陌生的Wifi

5、使用復雜密碼（重要網站使用獨立密碼）

6、沒有必要的話手機不要越獄或者Root

安全是一個整體，單線安全注定不安全，這就需要服務商與我們共同的安全意識。