Chinaunix
標(biāo)題: 【大話IT】為什么至今沒(méi)人攻破支付寶的銅墻鐵壁 [打印本頁(yè)]
作者: 440活在夢(mèng)里 時(shí)間: 2018-03-07 13:30
標(biāo)題: 【大話IT】為什么至今沒(méi)人攻破支付寶的銅墻鐵壁
話題背景:
如今隨著科技的進(jìn)步,錢(qián)包逐漸成為了國(guó)人生活中的附屬品,一部智能手機(jī),里面有綁定了銀行卡的微信、支付寶等支付程序,足以解決生活中任何花錢(qián)的問(wèn)題。但是,問(wèn)題也隨之而來(lái),都說(shuō)沒(méi)有絕對(duì)安全的系統(tǒng),且人外有人,天外有天,那么支付寶微信等程序又是如何保障我們的利益不受損失的呢?
timg.jpeg (6.27 KB, 下載次數(shù): 203)
下載附件
2018-03-07 13:26 上傳
本期討論問(wèn)題:
1、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
2、對(duì)于如今普遍存在的掃碼支付,你認(rèn)為有何隱患?
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會(huì)在將來(lái)受到影響?
活動(dòng)時(shí)間:2018年3月7日—3月21日
互動(dòng)獎(jiǎng)勵(lì):活動(dòng)結(jié)算后,我們會(huì)挑選5位有緣的小伙伴送出由社區(qū)提供的雨傘一把
作者: shang2010 時(shí)間: 2018-03-07 16:39
基本很小心,沒(méi)有問(wèn)題的
作者: tree_fox 時(shí)間: 2018-03-08 09:23
1、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
支付寶的安全級(jí)別基本處于銀行級(jí)別,不過(guò)還是會(huì)有被攻破的可能。畢竟中情局都被黑過(guò)!!但是糾結(jié)其原因來(lái),還是因?yàn)轳R云有錢(qián)。。!
2、對(duì)于如今普遍存在的掃碼支付,你認(rèn)為有何隱患?
一、賬戶風(fēng)險(xiǎn)
最常見(jiàn)的風(fēng)險(xiǎn)是賬戶被盜用了的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)在依托手機(jī)為主體的二維碼支付的場(chǎng)景下,會(huì)降低很多。手機(jī)支付的第一個(gè)步驟是授權(quán)。在這個(gè)階段,會(huì)通過(guò)支付密碼、手機(jī)短信、身份信息和隱私信息等等驗(yàn)證之后,將設(shè)備和支付賬號(hào)做一層綁定。在這種風(fēng)控邏輯的設(shè)定下,你的賬戶被盜了,如果想通過(guò)掃碼來(lái)支付,那就意味著要同時(shí)獲取上述信息。一般的拖庫(kù)造成的賬號(hào)密碼泄漏無(wú)法通過(guò)首次支付的授權(quán)。所以二維碼支付對(duì)于單純的拖庫(kù)和單一的賬號(hào)密碼被盜來(lái)說(shuō)相對(duì)更為安全。
二、釣魚(yú)風(fēng)險(xiǎn)
所謂釣魚(yú),簡(jiǎn)單來(lái)說(shuō)就是你認(rèn)為是A,結(jié)果支付的是B。對(duì)于這個(gè)問(wèn)題,掃碼的風(fēng)險(xiǎn)會(huì)相對(duì)較大一些。傳統(tǒng)的在線支付中我們通常就比較容易比對(duì)網(wǎng)址是不是官方網(wǎng)站來(lái)做判斷,而我們無(wú)法通過(guò)比對(duì)二維碼是不是官方二維碼來(lái)驗(yàn)證支付安全性。另外加之商戶的名稱(chēng)大多數(shù)都不是你所熟悉的標(biāo)識(shí)名(比如美團(tuán)的訂單,掃完了會(huì)發(fā)現(xiàn)付款對(duì)方是北京三快在線科技有限公司),就更加不容易判斷買(mǎi)的東西是不是自己要的那個(gè)。但回過(guò)頭來(lái)說(shuō),像微信這樣的線下的當(dāng)面支付,這種概率會(huì)小的多,在商家店內(nèi),商家會(huì)維護(hù)好自己的二維碼不被輕易的做替換,如果商家的收款二維碼是逐筆生成的,那么風(fēng)險(xiǎn)程度就會(huì)進(jìn)一步的降低。
三、木馬風(fēng)險(xiǎn)
手機(jī)木馬是現(xiàn)在基于手機(jī)支付的方案中最危險(xiǎn)的因素,容易造成設(shè)備本身的信息攔截、設(shè)備授權(quán)竊取等等各種不安全因素。而手機(jī)木馬的查殺和防范,也是一個(gè)剛起步的行業(yè)。所以一旦中了有針對(duì)性的手機(jī)木馬,基本上是不安全的占大多數(shù)了,360說(shuō)的再好,也很難對(duì)抗這種情況。
四、設(shè)備風(fēng)險(xiǎn)
設(shè)備丟失是一個(gè)繞不過(guò)去的話題。之前轟轟烈烈的手機(jī)丟了是不是支付寶賬戶就被盜了其實(shí)說(shuō)的就是這件事。在線下支付,一張銀行卡丟了和一部綁了卡可以做二維碼支付的手機(jī)丟了,風(fēng)險(xiǎn)還真是不一樣的,后者的風(fēng)險(xiǎn)顯然高的多了。前幾天的對(duì)于Apple Pay的討論里我們其實(shí)也可以看到,設(shè)備丟失的風(fēng)險(xiǎn),需要有一個(gè)不依賴于賬戶體系本身的驗(yàn)證方式來(lái)做驗(yàn)證(手機(jī)短信、密碼仍然是賬戶體系本身的一部分)。蘋(píng)果的方案是指紋。對(duì)于支付公司來(lái)說(shuō),人臉識(shí)別、聲音識(shí)別等生物技術(shù)的附加驗(yàn)證方式,一定會(huì)是未來(lái)的方向。
五、其他
基站劫持啊,網(wǎng)絡(luò)劫持啊這種高科技的風(fēng)險(xiǎn),也一定會(huì)越來(lái)越多的出現(xiàn),但這是所有手機(jī)支付包括PC在線支付都會(huì)出現(xiàn)的問(wèn)題,警惕性還是得有。
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會(huì)在將來(lái)受到影響?
目前總得來(lái)看,是沒(méi)有直接影響的。
但是有間接影響,如果出現(xiàn)法定的區(qū)塊鏈數(shù)字貨幣,那么第三方支付可能會(huì)轉(zhuǎn)變會(huì)一種新型的代理節(jié)點(diǎn),提供全節(jié)點(diǎn)服務(wù),各位老百姓還是用類(lèi)似支付寶一樣的輕錢(qián)包(SPV)。
和現(xiàn)在相比,做一筆轉(zhuǎn)賬的邊際成本可能會(huì)有些許提高,影響應(yīng)該不大。
作者: forgaoqiang 時(shí)間: 2018-03-08 09:23
也不能這么說(shuō) 的確是被PoC過(guò)很多可以利用的漏洞 只是沒(méi)有人大面積實(shí)施 我記得六七年前就有誘導(dǎo)加密算法等漏洞了 具體的有空再討論吧 先占個(gè)板凳
作者: infoback 時(shí)間: 2018-03-08 09:27
看來(lái)最近管理員跟交易安全扛上了,哈哈

作者: shang2010 時(shí)間: 2018-03-08 11:05
手機(jī)安全,還是本分點(diǎn),用蘋(píng)果好了。。。你看華為360吹牛的,
作者: Fl_wolf 時(shí)間: 2018-03-08 17:31
1、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
誰(shuí)說(shuō)無(wú)人攻破的 。。我滲透的師傅透露他朋友就破了一個(gè)。。不過(guò)應(yīng)該被那邊的SRC給公關(guān)掉了。。。還發(fā)了13W的獎(jiǎng)金。
不過(guò)是邊緣一點(diǎn)的不是核心業(yè)務(wù)。
2、對(duì)于如今普遍存在的掃碼支付,你認(rèn)為有何隱患?
隱患就是被人貼了個(gè)自己的私人賬戶,就被社工了。
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會(huì)在將來(lái)受到影響?
阿里系也在研究,影響倒不會(huì),改進(jìn)應(yīng)該是會(huì)有的。
作者: 440活在夢(mèng)里 時(shí)間: 2018-03-09 09:26
回復(fù) 5# infoback



作者: heguangwu 時(shí)間: 2018-03-09 13:31
沒(méi)有攻不破的堡壘,有時(shí)候是代價(jià)太大了沒(méi)人做,還有可能是攻破了也不會(huì)說(shuō)出來(lái),否則不是要進(jìn)號(hào)子了
作者: heguangwu 時(shí)間: 2018-03-09 13:31
沒(méi)有攻不破的堡壘,有時(shí)候是代價(jià)太大了沒(méi)人做,還有可能是攻破了也不會(huì)說(shuō)出來(lái),否則不是要進(jìn)號(hào)子了
作者: heguangwu 時(shí)間: 2018-03-09 13:33
沒(méi)有攻不破的堡壘,有時(shí)候是代價(jià)太大了沒(méi)人做,還有可能是攻破了也不會(huì)說(shuō)出來(lái),否則不是要進(jìn)號(hào)子了
作者: aloki 時(shí)間: 2018-03-09 14:16
1、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
針對(duì)這個(gè)問(wèn)題小編可能有點(diǎn)孤陋寡聞了。今年1月份騰訊玄武實(shí)驗(yàn)室就曾經(jīng)演示過(guò)一個(gè)應(yīng)用克隆的漏洞,而被克隆的對(duì)象正是支付寶App,具體演示視頻應(yīng)該還可以看到。雖然支付寶方面說(shuō)已經(jīng)修復(fù)了該漏洞,并且沒(méi)有實(shí)際的攻擊案例,但是作為用戶也不能掉以輕心。安全從來(lái)就是不是單方面的事情,即使程序編寫(xiě)的天衣無(wú)縫,但你也不能保證用戶會(huì)犯什么傻,導(dǎo)致用戶信息在黑客面前暴露無(wú)疑,安全領(lǐng)域并沒(méi)有什么是不可攻破的。
2、對(duì)于如今普遍存在的掃碼支付,你認(rèn)為有何隱患?
低端一點(diǎn)的就是經(jīng)常在媒體中看到的,商家的收款碼被人偷龍轉(zhuǎn)鳳導(dǎo)致該收的款項(xiàng)打到別人的賬戶上。高端一點(diǎn)就是利用掃碼支付竊取用戶的信息,從而盜取用戶銀行卡或移動(dòng)支付平臺(tái)上的資金。
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會(huì)在將來(lái)受到影響?
目前支付寶在交易環(huán)節(jié)存在刷信譽(yù)、銷(xiāo)售假冒偽劣商品、買(mǎi)家明明收到貨物卻說(shuō)沒(méi)有、巨大經(jīng)濟(jì)利益帶來(lái)的內(nèi)部腐敗等等問(wèn)題。雖然這不是支付寶特有的,是一種社會(huì)現(xiàn)象。而區(qū)塊鏈技術(shù)去中心化能夠提供一個(gè)無(wú)法篡改的信譽(yù)體系,在一定程度上能解決支付寶遇到的問(wèn)題。當(dāng)去中心化淘寶 + 區(qū)塊鏈供應(yīng)鏈,如此產(chǎn)生的化學(xué)反應(yīng),將徹底解決信譽(yù)體系、假冒偽劣、國(guó)際化這些阿里目前難以解決的問(wèn)題,將孕育一個(gè)遠(yuǎn)大于阿里電商帝國(guó)的市場(chǎng)空間。
作者: infoback 時(shí)間: 2018-03-12 10:14
本帖最后由 infoback 于 2018-03-12 10:22 編輯
1、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
一定要記住,沒(méi)有攻不破的系統(tǒng),只要是寫(xiě)的代碼,就會(huì)有漏洞,這不是個(gè)博弈的問(wèn)題,而是辯證客觀的,寫(xiě)的程序一定會(huì)是有意無(wú)意的后門(mén);沒(méi)有人攻破,也是假的,包括騰訊實(shí)驗(yàn)室,世界安全大會(huì),都拿支付寶等主流的電子支付平臺(tái)作為對(duì)象進(jìn)行攻擊和算法推演,其中已經(jīng)有機(jī)構(gòu)借助漏洞證明了或多或少的攻擊成功,雖然這些漏洞對(duì)實(shí)際影響并沒(méi)有想象中那么大,但是客觀說(shuō)明了,任何平臺(tái)都不牢靠。再有為啥沒(méi)有大規(guī)模攻破,一是因?yàn),作為使用人?shù)最多的電子支付渠道,支付包的安全措施總體是非常全面和值得信任的,攻破這樣的需要非常尖端的實(shí)驗(yàn)室或者團(tuán)隊(duì)進(jìn)行努力,再有大部分支付寶的漏洞都是通過(guò)用戶終端的信息泄露來(lái)完成的,要去主動(dòng)從支付寶的算法和平臺(tái)去攻破,代價(jià)實(shí)在太大。
2、對(duì)于如今普遍存在的掃碼支付,你認(rèn)為有何隱患?
這個(gè)隱患要從很多方面來(lái)說(shuō),
1)從技術(shù)上來(lái)說(shuō),木馬是最常見(jiàn)的,那些詐騙人員通過(guò)二維碼的方式將手機(jī)木馬植入到消費(fèi)者手機(jī)中,然后只要消費(fèi)者去通過(guò)電子支付渠道付款,就能將消費(fèi)者手機(jī)中的支付賬號(hào)、密碼、**信息、聯(lián)系人信息、照片等隱私信息回傳個(gè)人服務(wù)器,甚至直接截獲短信驗(yàn)證碼這樣就直接盜刷消費(fèi)者銀行卡里的余額,這是最常見(jiàn)的。
2)業(yè)務(wù)邏輯上來(lái)說(shuō),說(shuō)白了掃碼支付方便了消費(fèi)者,也更多暴露了危險(xiǎn),為了方便,很多平臺(tái)的掃碼會(huì)讓消費(fèi)者在一定額度及次數(shù)內(nèi)減少甚至免除密碼、指紋、短信動(dòng)態(tài)碼等補(bǔ)強(qiáng)措施的使用,這樣就增加了支付的風(fēng)險(xiǎn)
3)法律層面,套現(xiàn),很多人都會(huì)用支付去套現(xiàn),在掃碼支付業(yè)務(wù)拓展期,支付機(jī)構(gòu)普遍都降低了商戶準(zhǔn)入門(mén)檻,留檔要求越來(lái)越低,費(fèi)率也一降再降,滋生了相當(dāng)數(shù)量的套現(xiàn)甚至詐騙事件,且更不易偵測(cè)。
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會(huì)在將來(lái)受到影響?
不會(huì),即使區(qū)塊鏈大熱,穩(wěn)定而有良好支持公司和團(tuán)隊(duì)的支付渠道仍是大勢(shì)所趨,區(qū)塊鏈從某種角度上也會(huì)在很多技術(shù)和使用環(huán)境上起到優(yōu)化支付寶的作用,作為消費(fèi)者的我,還是更喜歡穩(wěn)定且安全接受程度低的支付渠道,希望微信和支付寶仍然能分庭抗禮,不要有任何一家的壟斷,這樣對(duì)消費(fèi)者才是最大的優(yōu)勢(shì),還有就是支付寶和微信的福利以后更多多,哈哈哈,蚊子肉也是肉啊~~
作者: kangtian 時(shí)間: 2018-03-13 14:00
1、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因。
只要沒(méi)有成為事故,支付寶方絕對(duì)不會(huì)承認(rèn)曾被攻破。我相信肯定有黑客成功攻破支付寶,只不過(guò)沒(méi)有造成大的影響。黑客求財(cái),支付寶方破財(cái)消災(zāi),息事寧人。
另外,防止被黑,除了技術(shù)方面的防御之外,還要依靠法律的威懾和道德的教化。
2、對(duì)于如今普遍存在的掃碼支付,你認(rèn)為有何隱患?
只要不掉以輕心,仔細(xì)核對(duì)交易信息,支付本身不會(huì)出現(xiàn)什么問(wèn)題。我擔(dān)心的是隱私泄露以及寡頭的產(chǎn)生。毫無(wú)疑問(wèn),微信和支付寶已經(jīng)成為移動(dòng)支付領(lǐng)域的寡頭,面對(duì)這種體量的寡頭,我們會(huì)失去很多選擇。
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會(huì)在將來(lái)受到影響?
區(qū)塊鏈技術(shù)本身就是一種犧牲效率提高安全的技術(shù),支付寶卻是非常注重效率的(每秒要處理數(shù)百萬(wàn)次交易),短期內(nèi)支付寶不會(huì)受到影響。
作者: yehuafeilang 時(shí)間: 2018-03-15 09:25
風(fēng)險(xiǎn)太大,攻破了支付寶,那就是攻破了一個(gè)相當(dāng)大的金融機(jī)構(gòu)。∵@個(gè)錢(qián)哪個(gè)敢用?代價(jià)估計(jì)就是樓上說(shuō)的進(jìn)號(hào)子了
作者: xiaoshi20cn 時(shí)間: 2018-03-17 17:03
是人就會(huì)犯錯(cuò),只是看錯(cuò)誤大小。
作者: jszxcyit 時(shí)間: 2018-03-20 16:12
1、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
個(gè)人感覺(jué)對(duì)于支付寶這種規(guī)模的公司來(lái)說(shuō),無(wú)論是人員保障還是技術(shù)保障,其風(fēng)險(xiǎn)等級(jí)一點(diǎn)都不亞于銀行系統(tǒng),其次支付寶在網(wǎng)絡(luò)安全方面對(duì)安全的等級(jí)定義也是相當(dāng)嚴(yán)格。
2、對(duì)于如今普遍存在的掃碼支付,你認(rèn)為有何隱患?
當(dāng)前最大的隱患就是那些別有用心的人員,偽造二維碼,對(duì)于很多對(duì)掃碼支付不熟悉的人員來(lái)說(shuō),很有可能就不會(huì)掃碼支付了,對(duì)于后期的推廣也存在一定的問(wèn)題。
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會(huì)在將來(lái)受到影響?
區(qū)塊鏈技術(shù)的發(fā)展,可以說(shuō)肯定會(huì)對(duì)支付寶帶來(lái)影響的,不過(guò)這也是一個(gè)行業(yè)趨于完善的過(guò)程,帶來(lái)沖擊的同時(shí),無(wú)論是對(duì)支付寶還是區(qū)塊鏈的發(fā)展來(lái)說(shuō)都是雙贏的。
作者: ylfind 時(shí)間: 2018-04-01 23:08
總么說(shuō)膩
1. 馬云自己說(shuō) 清了最少100個(gè)專(zhuān)家包括(銀行、計(jì)算機(jī)、刑偵、財(cái)務(wù)等方面)。
2. 自身的資本,能請(qǐng)到中國(guó)最好的技術(shù)團(tuán)隊(duì)
3. 支付寶和銀行基本可以用等號(hào)連接,想想之前的烏云網(wǎng)。。細(xì)節(jié)不深聊。
作者: 創(chuàng)藍(lán)253 時(shí)間: 2018-04-11 17:44
你以為就支付寶一個(gè)公司在做防御壁壘?
你多了解了解短信驗(yàn)證碼、風(fēng)控系統(tǒng)這些企業(yè)服務(wù)這塊吧。支付寶并不是阿里在單打獨(dú)斗,背后有更多的技術(shù)在支撐著。我們就是做這一塊的企業(yè)服務(wù)的。
作者: renxiao2003 時(shí)間: 2018-04-17 12:25
如果攻破了你還敢用嗎?
作者: tree_fox 時(shí)間: 2018-08-19 11:30
還有雨傘送嗎~~~哈哈
作者: tree_fox 時(shí)間: 2018-08-19 11:30
這個(gè)時(shí)節(jié),雨傘是圣物
作者: waker 時(shí)間: 2018-10-06 07:18
違法的事不能干
歡迎光臨 Chinaunix (http://72891.cn/) |
Powered by Discuz! X3.2 |