Chinaunix
標(biāo)題: 【大話IT】為什么至今沒人攻破支付寶的銅墻鐵壁 [打印本頁]
作者: 440活在夢里 時(shí)間: 2018-03-07 13:30
標(biāo)題: 【大話IT】為什么至今沒人攻破支付寶的銅墻鐵壁
話題背景:
如今隨著科技的進(jìn)步,錢包逐漸成為了國人生活中的附屬品�����,一部智能手機(jī)�,里面有綁定了銀行卡的微信���、支付寶等支付程序,足以解決生活中任何花錢的問題��。但是,問題也隨之而來,都說沒有絕對安全的系統(tǒng)��,且人外有人����,天外有天���,那么支付寶微信等程序又是如何保障我們的利益不受損失的呢����?
timg.jpeg (6.27 KB, 下載次數(shù): 203)
下載附件
2018-03-07 13:26 上傳
本期討論問題:
1����、淺談你認(rèn)為支付寶等程序至今無人攻破的原因
2����、對于如今普遍存在的掃碼支付�,你認(rèn)為有何隱患����?
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展���,支付寶是否會在將來受到影響�?
活動時(shí)間:2018年3月7日—3月21日
互動獎勵:活動結(jié)算后�,我們會挑選5位有緣的小伙伴送出由社區(qū)提供的雨傘一把
作者: shang2010 時(shí)間: 2018-03-07 16:39
基本很小心��,沒有問題的
作者: tree_fox 時(shí)間: 2018-03-08 09:23
1���、淺談你認(rèn)為支付寶等程序至今無人攻破的原因
支付寶的安全級別基本處于銀行級別�����,不過還是會有被攻破的可能�。畢竟中情局都被黑過����。�����!但是糾結(jié)其原因來��,還是因?yàn)轳R云有錢!�����。�����!
2、對于如今普遍存在的掃碼支付����,你認(rèn)為有何隱患?
一��、賬戶風(fēng)險(xiǎn)
最常見的風(fēng)險(xiǎn)是賬戶被盜用了的風(fēng)險(xiǎn)����。這種風(fēng)險(xiǎn)在依托手機(jī)為主體的二維碼支付的場景下��,會降低很多。手機(jī)支付的第一個(gè)步驟是授權(quán)。在這個(gè)階段�,會通過支付密碼��、手機(jī)短信����、身份信息和隱私信息等等驗(yàn)證之后����,將設(shè)備和支付賬號做一層綁定�����。在這種風(fēng)控邏輯的設(shè)定下���,你的賬戶被盜了�,如果想通過掃碼來支付��,那就意味著要同時(shí)獲取上述信息����。一般的拖庫造成的賬號密碼泄漏無法通過首次支付的授權(quán)���。所以二維碼支付對于單純的拖庫和單一的賬號密碼被盜來說相對更為安全�。
二、釣魚風(fēng)險(xiǎn)
所謂釣魚����,簡單來說就是你認(rèn)為是A��,結(jié)果支付的是B。對于這個(gè)問題�,掃碼的風(fēng)險(xiǎn)會相對較大一些�����。傳統(tǒng)的在線支付中我們通常就比較容易比對網(wǎng)址是不是官方網(wǎng)站來做判斷�����,而我們無法通過比對二維碼是不是官方二維碼來驗(yàn)證支付安全性�����。另外加之商戶的名稱大多數(shù)都不是你所熟悉的標(biāo)識名(比如美團(tuán)的訂單���,掃完了會發(fā)現(xiàn)付款對方是北京三快在線科技有限公司)��,就更加不容易判斷買的東西是不是自己要的那個(gè)����。但回過頭來說���,像微信這樣的線下的當(dāng)面支付�����,這種概率會小的多����,在商家店內(nèi)����,商家會維護(hù)好自己的二維碼不被輕易的做替換,如果商家的收款二維碼是逐筆生成的��,那么風(fēng)險(xiǎn)程度就會進(jìn)一步的降低。
三�、木馬風(fēng)險(xiǎn)
手機(jī)木馬是現(xiàn)在基于手機(jī)支付的方案中最危險(xiǎn)的因素,容易造成設(shè)備本身的信息攔截����、設(shè)備授權(quán)竊取等等各種不安全因素。而手機(jī)木馬的查殺和防范�����,也是一個(gè)剛起步的行業(yè)�����。所以一旦中了有針對性的手機(jī)木馬����,基本上是不安全的占大多數(shù)了,360說的再好�����,也很難對抗這種情況���。
四、設(shè)備風(fēng)險(xiǎn)
設(shè)備丟失是一個(gè)繞不過去的話題。之前轟轟烈烈的手機(jī)丟了是不是支付寶賬戶就被盜了其實(shí)說的就是這件事��。在線下支付�����,一張銀行卡丟了和一部綁了卡可以做二維碼支付的手機(jī)丟了���,風(fēng)險(xiǎn)還真是不一樣的�����,后者的風(fēng)險(xiǎn)顯然高的多了��。前幾天的對于Apple Pay的討論里我們其實(shí)也可以看到�,設(shè)備丟失的風(fēng)險(xiǎn)����,需要有一個(gè)不依賴于賬戶體系本身的驗(yàn)證方式來做驗(yàn)證(手機(jī)短信、密碼仍然是賬戶體系本身的一部分)����。蘋果的方案是指紋。對于支付公司來說����,人臉識別�、聲音識別等生物技術(shù)的附加驗(yàn)證方式����,一定會是未來的方向。
五��、其他
基站劫持啊�����,網(wǎng)絡(luò)劫持啊這種高科技的風(fēng)險(xiǎn)�����,也一定會越來越多的出現(xiàn)�,但這是所有手機(jī)支付包括PC在線支付都會出現(xiàn)的問題,警惕性還是得有��。
3��、區(qū)塊鏈技術(shù)去中心化的發(fā)展�,支付寶是否會在將來受到影響?
目前總得來看����,是沒有直接影響的。
但是有間接影響���,如果出現(xiàn)法定的區(qū)塊鏈數(shù)字貨幣��,那么第三方支付可能會轉(zhuǎn)變會一種新型的代理節(jié)點(diǎn)��,提供全節(jié)點(diǎn)服務(wù)��,各位老百姓還是用類似支付寶一樣的輕錢包(SPV)��。
和現(xiàn)在相比�����,做一筆轉(zhuǎn)賬的邊際成本可能會有些許提高��,影響應(yīng)該不大��。
作者: forgaoqiang 時(shí)間: 2018-03-08 09:23
也不能這么說 的確是被PoC過很多可以利用的漏洞 只是沒有人大面積實(shí)施 我記得六七年前就有誘導(dǎo)加密算法等漏洞了 具體的有空再討論吧 先占個(gè)板凳
作者: infoback 時(shí)間: 2018-03-08 09:27
看來最近管理員跟交易安全扛上了��,哈哈
作者: shang2010 時(shí)間: 2018-03-08 11:05
手機(jī)安全�����,還是本分點(diǎn)����,用蘋果好了。���。��。你看華為360吹牛的�����,
作者: Fl_wolf 時(shí)間: 2018-03-08 17:31
1�、淺談你認(rèn)為支付寶等程序至今無人攻破的原因
誰說無人攻破的 ����。。我滲透的師傅透露他朋友就破了一個(gè)����。。不過應(yīng)該被那邊的SRC給公關(guān)掉了��。����。���。還發(fā)了13W的獎金。
不過是邊緣一點(diǎn)的不是核心業(yè)務(wù)����。
2��、對于如今普遍存在的掃碼支付�����,你認(rèn)為有何隱患�?
隱患就是被人貼了個(gè)自己的私人賬戶,就被社工了�����。
3����、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會在將來受到影響����?
阿里系也在研究����,影響倒不會�����,改進(jìn)應(yīng)該是會有的�����。
作者: 440活在夢里 時(shí)間: 2018-03-09 09:26
回復(fù) 5# infoback
作者: heguangwu 時(shí)間: 2018-03-09 13:31
沒有攻不破的堡壘���,有時(shí)候是代價(jià)太大了沒人做�����,還有可能是攻破了也不會說出來�,否則不是要進(jìn)號子了
作者: heguangwu 時(shí)間: 2018-03-09 13:31
沒有攻不破的堡壘��,有時(shí)候是代價(jià)太大了沒人做���,還有可能是攻破了也不會說出來�,否則不是要進(jìn)號子了
作者: heguangwu 時(shí)間: 2018-03-09 13:33
沒有攻不破的堡壘,有時(shí)候是代價(jià)太大了沒人做���,還有可能是攻破了也不會說出來�����,否則不是要進(jìn)號子了
作者: aloki 時(shí)間: 2018-03-09 14:16
1���、淺談你認(rèn)為支付寶等程序至今無人攻破的原因
針對這個(gè)問題小編可能有點(diǎn)孤陋寡聞了��。今年1月份騰訊玄武實(shí)驗(yàn)室就曾經(jīng)演示過一個(gè)應(yīng)用克隆的漏洞����,而被克隆的對象正是支付寶App,具體演示視頻應(yīng)該還可以看到�。雖然支付寶方面說已經(jīng)修復(fù)了該漏洞,并且沒有實(shí)際的攻擊案例����,但是作為用戶也不能掉以輕心。安全從來就是不是單方面的事情��,即使程序編寫的天衣無縫��,但你也不能保證用戶會犯什么傻,導(dǎo)致用戶信息在黑客面前暴露無疑��,安全領(lǐng)域并沒有什么是不可攻破的�。
2、對于如今普遍存在的掃碼支付����,你認(rèn)為有何隱患?
低端一點(diǎn)的就是經(jīng)常在媒體中看到的�,商家的收款碼被人偷龍轉(zhuǎn)鳳導(dǎo)致該收的款項(xiàng)打到別人的賬戶上。高端一點(diǎn)就是利用掃碼支付竊取用戶的信息�,從而盜取用戶銀行卡或移動支付平臺上的資金。
3�����、區(qū)塊鏈技術(shù)去中心化的發(fā)展�����,支付寶是否會在將來受到影響�����?
目前支付寶在交易環(huán)節(jié)存在刷信譽(yù)、銷售假冒偽劣商品����、買家明明收到貨物卻說沒有、巨大經(jīng)濟(jì)利益帶來的內(nèi)部腐敗等等問題����。雖然這不是支付寶特有的,是一種社會現(xiàn)象���。而區(qū)塊鏈技術(shù)去中心化能夠提供一個(gè)無法篡改的信譽(yù)體系����,在一定程度上能解決支付寶遇到的問題�。當(dāng)去中心化淘寶 + 區(qū)塊鏈供應(yīng)鏈�,如此產(chǎn)生的化學(xué)反應(yīng),將徹底解決信譽(yù)體系���、假冒偽劣�、國際化這些阿里目前難以解決的問題���,將孕育一個(gè)遠(yuǎn)大于阿里電商帝國的市場空間���。
作者: infoback 時(shí)間: 2018-03-12 10:14
本帖最后由 infoback 于 2018-03-12 10:22 編輯
1���、淺談你認(rèn)為支付寶等程序至今無人攻破的原因
一定要記住,沒有攻不破的系統(tǒng)����,只要是寫的代碼,就會有漏洞����,這不是個(gè)博弈的問題,而是辯證客觀的�,寫的程序一定會是有意無意的后門;沒有人攻破��,也是假的���,包括騰訊實(shí)驗(yàn)室���,世界安全大會,都拿支付寶等主流的電子支付平臺作為對象進(jìn)行攻擊和算法推演���,其中已經(jīng)有機(jī)構(gòu)借助漏洞證明了或多或少的攻擊成功����,雖然這些漏洞對實(shí)際影響并沒有想象中那么大,但是客觀說明了��,任何平臺都不牢靠��。再有為啥沒有大規(guī)模攻破�,一是因?yàn)椋鳛槭褂萌藬?shù)最多的電子支付渠道����,支付包的安全措施總體是非常全面和值得信任的,攻破這樣的需要非常尖端的實(shí)驗(yàn)室或者團(tuán)隊(duì)進(jìn)行努力��,再有大部分支付寶的漏洞都是通過用戶終端的信息泄露來完成的�,要去主動從支付寶的算法和平臺去攻破,代價(jià)實(shí)在太大�����。
2����、對于如今普遍存在的掃碼支付�����,你認(rèn)為有何隱患?
這個(gè)隱患要從很多方面來說�����,
1)從技術(shù)上來說�����,木馬是最常見的��,那些詐騙人員通過二維碼的方式將手機(jī)木馬植入到消費(fèi)者手機(jī)中�����,然后只要消費(fèi)者去通過電子支付渠道付款��,就能將消費(fèi)者手機(jī)中的支付賬號����、密碼、**信息���、聯(lián)系人信息��、照片等隱私信息回傳個(gè)人服務(wù)器����,甚至直接截獲短信驗(yàn)證碼這樣就直接盜刷消費(fèi)者銀行卡里的余額,這是最常見的�。
2)業(yè)務(wù)邏輯上來說,說白了掃碼支付方便了消費(fèi)者���,也更多暴露了危險(xiǎn)�����,為了方便�����,很多平臺的掃碼會讓消費(fèi)者在一定額度及次數(shù)內(nèi)減少甚至免除密碼���、指紋、短信動態(tài)碼等補(bǔ)強(qiáng)措施的使用�,這樣就增加了支付的風(fēng)險(xiǎn)
3)法律層面,套現(xiàn)���,很多人都會用支付去套現(xiàn)�,在掃碼支付業(yè)務(wù)拓展期���,支付機(jī)構(gòu)普遍都降低了商戶準(zhǔn)入門檻�����,留檔要求越來越低�����,費(fèi)率也一降再降��,滋生了相當(dāng)數(shù)量的套現(xiàn)甚至詐騙事件�����,且更不易偵測���。
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展����,支付寶是否會在將來受到影響?
不會���,即使區(qū)塊鏈大熱����,穩(wěn)定而有良好支持公司和團(tuán)隊(duì)的支付渠道仍是大勢所趨,區(qū)塊鏈從某種角度上也會在很多技術(shù)和使用環(huán)境上起到優(yōu)化支付寶的作用����,作為消費(fèi)者的我,還是更喜歡穩(wěn)定且安全接受程度低的支付渠道����,希望微信和支付寶仍然能分庭抗禮,不要有任何一家的壟斷����,這樣對消費(fèi)者才是最大的優(yōu)勢,還有就是支付寶和微信的福利以后更多多�,哈哈哈,蚊子肉也是肉啊~~
作者: kangtian 時(shí)間: 2018-03-13 14:00
1��、淺談你認(rèn)為支付寶等程序至今無人攻破的原因����。
只要沒有成為事故,支付寶方絕對不會承認(rèn)曾被攻破。我相信肯定有黑客成功攻破支付寶�����,只不過沒有造成大的影響���。黑客求財(cái),支付寶方破財(cái)消災(zāi)��,息事寧人�。
另外,防止被黑����,除了技術(shù)方面的防御之外,還要依靠法律的威懾和道德的教化�����。
2�����、對于如今普遍存在的掃碼支付����,你認(rèn)為有何隱患����?
只要不掉以輕心�����,仔細(xì)核對交易信息�,支付本身不會出現(xiàn)什么問題。我擔(dān)心的是隱私泄露以及寡頭的產(chǎn)生�。毫無疑問,微信和支付寶已經(jīng)成為移動支付領(lǐng)域的寡頭��,面對這種體量的寡頭�����,我們會失去很多選擇�。
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展���,支付寶是否會在將來受到影響��?
區(qū)塊鏈技術(shù)本身就是一種犧牲效率提高安全的技術(shù)�,支付寶卻是非常注重效率的(每秒要處理數(shù)百萬次交易),短期內(nèi)支付寶不會受到影響���。
作者: yehuafeilang 時(shí)間: 2018-03-15 09:25
風(fēng)險(xiǎn)太大���,攻破了支付寶,那就是攻破了一個(gè)相當(dāng)大的金融機(jī)構(gòu)���。∵@個(gè)錢哪個(gè)敢用����?代價(jià)估計(jì)就是樓上說的進(jìn)號子了
作者: xiaoshi20cn 時(shí)間: 2018-03-17 17:03
是人就會犯錯(cuò),只是看錯(cuò)誤大小�。
作者: jszxcyit 時(shí)間: 2018-03-20 16:12
1、淺談你認(rèn)為支付寶等程序至今無人攻破的原因
個(gè)人感覺對于支付寶這種規(guī)模的公司來說����,無論是人員保障還是技術(shù)保障,其風(fēng)險(xiǎn)等級一點(diǎn)都不亞于銀行系統(tǒng)����,其次支付寶在網(wǎng)絡(luò)安全方面對安全的等級定義也是相當(dāng)嚴(yán)格。
2���、對于如今普遍存在的掃碼支付���,你認(rèn)為有何隱患�����?
當(dāng)前最大的隱患就是那些別有用心的人員����,偽造二維碼�,對于很多對掃碼支付不熟悉的人員來說,很有可能就不會掃碼支付了����,對于后期的推廣也存在一定的問題。
3�、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會在將來受到影響���?
區(qū)塊鏈技術(shù)的發(fā)展���,可以說肯定會對支付寶帶來影響的,不過這也是一個(gè)行業(yè)趨于完善的過程���,帶來沖擊的同時(shí)��,無論是對支付寶還是區(qū)塊鏈的發(fā)展來說都是雙贏的�。
作者: ylfind 時(shí)間: 2018-04-01 23:08
總么說膩
1. 馬云自己說 清了最少100個(gè)專家包括(銀行、計(jì)算機(jī)���、刑偵��、財(cái)務(wù)等方面)�����。
2. 自身的資本,能請到中國最好的技術(shù)團(tuán)隊(duì)
3. 支付寶和銀行基本可以用等號連接��,想想之前的烏云網(wǎng)��。���。細(xì)節(jié)不深聊�����。
作者: 創(chuàng)藍(lán)253 時(shí)間: 2018-04-11 17:44
你以為就支付寶一個(gè)公司在做防御壁壘�����?
你多了解了解短信驗(yàn)證碼�、風(fēng)控系統(tǒng)這些企業(yè)服務(wù)這塊吧。支付寶并不是阿里在單打獨(dú)斗��,背后有更多的技術(shù)在支撐著��。我們就是做這一塊的企業(yè)服務(wù)的���。
作者: renxiao2003 時(shí)間: 2018-04-17 12:25
如果攻破了你還敢用嗎��?
作者: tree_fox 時(shí)間: 2018-08-19 11:30
還有雨傘送嗎~~~哈哈
作者: tree_fox 時(shí)間: 2018-08-19 11:30
這個(gè)時(shí)節(jié)�,雨傘是圣物
作者: waker 時(shí)間: 2018-10-06 07:18
違法的事不能干
| 歡迎光臨 Chinaunix (http://72891.cn/) |
Powered by Discuz! X3.2 |