Chinaunix
標(biāo)題: 【大話IT】為什么至今沒(méi)人攻破支付寶的銅墻鐵壁 [打印本頁(yè)]
作者: 440活在夢(mèng)里 時(shí)間: 2018-03-07 13:30
標(biāo)題: 【大話IT】為什么至今沒(méi)人攻破支付寶的銅墻鐵壁
話題背景:
如今隨著科技的進(jìn)步�����,錢(qián)包逐漸成為了國(guó)人生活中的附屬品����,一部智能手機(jī),里面有綁定了銀行卡的微信��、支付寶等支付程序����,足以解決生活中任何花錢(qián)的問(wèn)題。但是�����,問(wèn)題也隨之而來(lái),都說(shuō)沒(méi)有絕對(duì)安全的系統(tǒng)����,且人外有人,天外有天����,那么支付寶微信等程序又是如何保障我們的利益不受損失的呢?
timg.jpeg (6.27 KB, 下載次數(shù): 203)
下載附件
2018-03-07 13:26 上傳
本期討論問(wèn)題:
1�、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
2、對(duì)于如今普遍存在的掃碼支付�,你認(rèn)為有何隱患?
3�����、區(qū)塊鏈技術(shù)去中心化的發(fā)展��,支付寶是否會(huì)在將來(lái)受到影響����?
活動(dòng)時(shí)間:2018年3月7日—3月21日
互動(dòng)獎(jiǎng)勵(lì):活動(dòng)結(jié)算后,我們會(huì)挑選5位有緣的小伙伴送出由社區(qū)提供的雨傘一把
作者: shang2010 時(shí)間: 2018-03-07 16:39
基本很小心�����,沒(méi)有問(wèn)題的
作者: tree_fox 時(shí)間: 2018-03-08 09:23
1、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
支付寶的安全級(jí)別基本處于銀行級(jí)別���,不過(guò)還是會(huì)有被攻破的可能���。畢竟中情局都被黑過(guò)!�������!但是糾結(jié)其原因來(lái)��,還是因?yàn)轳R云有錢(qián)�。���。������!
2、對(duì)于如今普遍存在的掃碼支付�,你認(rèn)為有何隱患?
一����、賬戶風(fēng)險(xiǎn)
最常見(jiàn)的風(fēng)險(xiǎn)是賬戶被盜用了的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)在依托手機(jī)為主體的二維碼支付的場(chǎng)景下���,會(huì)降低很多���。手機(jī)支付的第一個(gè)步驟是授權(quán)。在這個(gè)階段����,會(huì)通過(guò)支付密碼、手機(jī)短信�����、身份信息和隱私信息等等驗(yàn)證之后��,將設(shè)備和支付賬號(hào)做一層綁定��。在這種風(fēng)控邏輯的設(shè)定下�����,你的賬戶被盜了,如果想通過(guò)掃碼來(lái)支付�����,那就意味著要同時(shí)獲取上述信息�。一般的拖庫(kù)造成的賬號(hào)密碼泄漏無(wú)法通過(guò)首次支付的授權(quán)。所以二維碼支付對(duì)于單純的拖庫(kù)和單一的賬號(hào)密碼被盜來(lái)說(shuō)相對(duì)更為安全��。
二�����、釣魚(yú)風(fēng)險(xiǎn)
所謂釣魚(yú)���,簡(jiǎn)單來(lái)說(shuō)就是你認(rèn)為是A,結(jié)果支付的是B�。對(duì)于這個(gè)問(wèn)題,掃碼的風(fēng)險(xiǎn)會(huì)相對(duì)較大一些���。傳統(tǒng)的在線支付中我們通常就比較容易比對(duì)網(wǎng)址是不是官方網(wǎng)站來(lái)做判斷�����,而我們無(wú)法通過(guò)比對(duì)二維碼是不是官方二維碼來(lái)驗(yàn)證支付安全性��。另外加之商戶的名稱(chēng)大多數(shù)都不是你所熟悉的標(biāo)識(shí)名(比如美團(tuán)的訂單����,掃完了會(huì)發(fā)現(xiàn)付款對(duì)方是北京三快在線科技有限公司),就更加不容易判斷買(mǎi)的東西是不是自己要的那個(gè)���。但回過(guò)頭來(lái)說(shuō)�,像微信這樣的線下的當(dāng)面支付�,這種概率會(huì)小的多,在商家店內(nèi)���,商家會(huì)維護(hù)好自己的二維碼不被輕易的做替換�����,如果商家的收款二維碼是逐筆生成的���,那么風(fēng)險(xiǎn)程度就會(huì)進(jìn)一步的降低。
三��、木馬風(fēng)險(xiǎn)
手機(jī)木馬是現(xiàn)在基于手機(jī)支付的方案中最危險(xiǎn)的因素���,容易造成設(shè)備本身的信息攔截�����、設(shè)備授權(quán)竊取等等各種不安全因素���。而手機(jī)木馬的查殺和防范��,也是一個(gè)剛起步的行業(yè)�。所以一旦中了有針對(duì)性的手機(jī)木馬����,基本上是不安全的占大多數(shù)了,360說(shuō)的再好�,也很難對(duì)抗這種情況。
四���、設(shè)備風(fēng)險(xiǎn)
設(shè)備丟失是一個(gè)繞不過(guò)去的話題�����。之前轟轟烈烈的手機(jī)丟了是不是支付寶賬戶就被盜了其實(shí)說(shuō)的就是這件事。在線下支付���,一張銀行卡丟了和一部綁了卡可以做二維碼支付的手機(jī)丟了�,風(fēng)險(xiǎn)還真是不一樣的,后者的風(fēng)險(xiǎn)顯然高的多了�����。前幾天的對(duì)于Apple Pay的討論里我們其實(shí)也可以看到����,設(shè)備丟失的風(fēng)險(xiǎn),需要有一個(gè)不依賴于賬戶體系本身的驗(yàn)證方式來(lái)做驗(yàn)證(手機(jī)短信��、密碼仍然是賬戶體系本身的一部分)����。蘋(píng)果的方案是指紋。對(duì)于支付公司來(lái)說(shuō)�����,人臉識(shí)別����、聲音識(shí)別等生物技術(shù)的附加驗(yàn)證方式,一定會(huì)是未來(lái)的方向。
五���、其他
基站劫持啊�����,網(wǎng)絡(luò)劫持啊這種高科技的風(fēng)險(xiǎn)���,也一定會(huì)越來(lái)越多的出現(xiàn),但這是所有手機(jī)支付包括PC在線支付都會(huì)出現(xiàn)的問(wèn)題���,警惕性還是得有��。
3����、區(qū)塊鏈技術(shù)去中心化的發(fā)展���,支付寶是否會(huì)在將來(lái)受到影響�?
目前總得來(lái)看��,是沒(méi)有直接影響的�����。
但是有間接影響��,如果出現(xiàn)法定的區(qū)塊鏈數(shù)字貨幣��,那么第三方支付可能會(huì)轉(zhuǎn)變會(huì)一種新型的代理節(jié)點(diǎn)��,提供全節(jié)點(diǎn)服務(wù)��,各位老百姓還是用類(lèi)似支付寶一樣的輕錢(qián)包(SPV)�。
和現(xiàn)在相比,做一筆轉(zhuǎn)賬的邊際成本可能會(huì)有些許提高��,影響應(yīng)該不大�����。
作者: forgaoqiang 時(shí)間: 2018-03-08 09:23
也不能這么說(shuō) 的確是被PoC過(guò)很多可以利用的漏洞 只是沒(méi)有人大面積實(shí)施 我記得六七年前就有誘導(dǎo)加密算法等漏洞了 具體的有空再討論吧 先占個(gè)板凳
作者: infoback 時(shí)間: 2018-03-08 09:27
看來(lái)最近管理員跟交易安全扛上了�����,哈哈
作者: shang2010 時(shí)間: 2018-03-08 11:05
手機(jī)安全���,還是本分點(diǎn)�����,用蘋(píng)果好了�����。��。�����。你看華為360吹牛的�,
作者: Fl_wolf 時(shí)間: 2018-03-08 17:31
1、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
誰(shuí)說(shuō)無(wú)人攻破的 �����。�����。我滲透的師傅透露他朋友就破了一個(gè)�����。。不過(guò)應(yīng)該被那邊的SRC給公關(guān)掉了��。�。�。還發(fā)了13W的獎(jiǎng)金。
不過(guò)是邊緣一點(diǎn)的不是核心業(yè)務(wù)��。
2����、對(duì)于如今普遍存在的掃碼支付,你認(rèn)為有何隱患����?
隱患就是被人貼了個(gè)自己的私人賬戶,就被社工了��。
3�、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會(huì)在將來(lái)受到影響�����?
阿里系也在研究����,影響倒不會(huì)�����,改進(jìn)應(yīng)該是會(huì)有的��。
作者: 440活在夢(mèng)里 時(shí)間: 2018-03-09 09:26
回復(fù) 5# infoback
作者: heguangwu 時(shí)間: 2018-03-09 13:31
沒(méi)有攻不破的堡壘���,有時(shí)候是代價(jià)太大了沒(méi)人做,還有可能是攻破了也不會(huì)說(shuō)出來(lái)�,否則不是要進(jìn)號(hào)子了
作者: heguangwu 時(shí)間: 2018-03-09 13:31
沒(méi)有攻不破的堡壘,有時(shí)候是代價(jià)太大了沒(méi)人做�,還有可能是攻破了也不會(huì)說(shuō)出來(lái),否則不是要進(jìn)號(hào)子了
作者: heguangwu 時(shí)間: 2018-03-09 13:33
沒(méi)有攻不破的堡壘���,有時(shí)候是代價(jià)太大了沒(méi)人做��,還有可能是攻破了也不會(huì)說(shuō)出來(lái)�,否則不是要進(jìn)號(hào)子了
作者: aloki 時(shí)間: 2018-03-09 14:16
1�、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
針對(duì)這個(gè)問(wèn)題小編可能有點(diǎn)孤陋寡聞了。今年1月份騰訊玄武實(shí)驗(yàn)室就曾經(jīng)演示過(guò)一個(gè)應(yīng)用克隆的漏洞�,而被克隆的對(duì)象正是支付寶App,具體演示視頻應(yīng)該還可以看到����。雖然支付寶方面說(shuō)已經(jīng)修復(fù)了該漏洞����,并且沒(méi)有實(shí)際的攻擊案例���,但是作為用戶也不能掉以輕心����。安全從來(lái)就是不是單方面的事情�����,即使程序編寫(xiě)的天衣無(wú)縫�,但你也不能保證用戶會(huì)犯什么傻����,導(dǎo)致用戶信息在黑客面前暴露無(wú)疑,安全領(lǐng)域并沒(méi)有什么是不可攻破的��。
2�、對(duì)于如今普遍存在的掃碼支付,你認(rèn)為有何隱患����?
低端一點(diǎn)的就是經(jīng)常在媒體中看到的����,商家的收款碼被人偷龍轉(zhuǎn)鳳導(dǎo)致該收的款項(xiàng)打到別人的賬戶上���。高端一點(diǎn)就是利用掃碼支付竊取用戶的信息�����,從而盜取用戶銀行卡或移動(dòng)支付平臺(tái)上的資金����。
3�����、區(qū)塊鏈技術(shù)去中心化的發(fā)展��,支付寶是否會(huì)在將來(lái)受到影響�?
目前支付寶在交易環(huán)節(jié)存在刷信譽(yù)、銷(xiāo)售假冒偽劣商品��、買(mǎi)家明明收到貨物卻說(shuō)沒(méi)有����、巨大經(jīng)濟(jì)利益帶來(lái)的內(nèi)部腐敗等等問(wèn)題�。雖然這不是支付寶特有的���,是一種社會(huì)現(xiàn)象�。而區(qū)塊鏈技術(shù)去中心化能夠提供一個(gè)無(wú)法篡改的信譽(yù)體系���,在一定程度上能解決支付寶遇到的問(wèn)題�。當(dāng)去中心化淘寶 + 區(qū)塊鏈供應(yīng)鏈�,如此產(chǎn)生的化學(xué)反應(yīng)�����,將徹底解決信譽(yù)體系����、假冒偽劣、國(guó)際化這些阿里目前難以解決的問(wèn)題��,將孕育一個(gè)遠(yuǎn)大于阿里電商帝國(guó)的市場(chǎng)空間�����。
作者: infoback 時(shí)間: 2018-03-12 10:14
本帖最后由 infoback 于 2018-03-12 10:22 編輯
1、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
一定要記住��,沒(méi)有攻不破的系統(tǒng)����,只要是寫(xiě)的代碼,就會(huì)有漏洞�����,這不是個(gè)博弈的問(wèn)題�����,而是辯證客觀的���,寫(xiě)的程序一定會(huì)是有意無(wú)意的后門(mén)����;沒(méi)有人攻破�,也是假的,包括騰訊實(shí)驗(yàn)室�,世界安全大會(huì),都拿支付寶等主流的電子支付平臺(tái)作為對(duì)象進(jìn)行攻擊和算法推演,其中已經(jīng)有機(jī)構(gòu)借助漏洞證明了或多或少的攻擊成功�����,雖然這些漏洞對(duì)實(shí)際影響并沒(méi)有想象中那么大���,但是客觀說(shuō)明了���,任何平臺(tái)都不牢靠。再有為啥沒(méi)有大規(guī)模攻破���,一是因?yàn)�,作為使用人?shù)最多的電子支付渠道����,支付包的安全措施總體是非常全面和值得信任的�,攻破這樣的需要非常尖端的實(shí)驗(yàn)室或者團(tuán)隊(duì)進(jìn)行努力,再有大部分支付寶的漏洞都是通過(guò)用戶終端的信息泄露來(lái)完成的��,要去主動(dòng)從支付寶的算法和平臺(tái)去攻破���,代價(jià)實(shí)在太大����。
2、對(duì)于如今普遍存在的掃碼支付���,你認(rèn)為有何隱患�����?
這個(gè)隱患要從很多方面來(lái)說(shuō)���,
1)從技術(shù)上來(lái)說(shuō),木馬是最常見(jiàn)的�����,那些詐騙人員通過(guò)二維碼的方式將手機(jī)木馬植入到消費(fèi)者手機(jī)中��,然后只要消費(fèi)者去通過(guò)電子支付渠道付款���,就能將消費(fèi)者手機(jī)中的支付賬號(hào)�、密碼��、**信息�、聯(lián)系人信息、照片等隱私信息回傳個(gè)人服務(wù)器,甚至直接截獲短信驗(yàn)證碼這樣就直接盜刷消費(fèi)者銀行卡里的余額�����,這是最常見(jiàn)的�。
2)業(yè)務(wù)邏輯上來(lái)說(shuō),說(shuō)白了掃碼支付方便了消費(fèi)者���,也更多暴露了危險(xiǎn)����,為了方便�����,很多平臺(tái)的掃碼會(huì)讓消費(fèi)者在一定額度及次數(shù)內(nèi)減少甚至免除密碼��、指紋�、短信動(dòng)態(tài)碼等補(bǔ)強(qiáng)措施的使用,這樣就增加了支付的風(fēng)險(xiǎn)
3)法律層面�����,套現(xiàn)���,很多人都會(huì)用支付去套現(xiàn)�,在掃碼支付業(yè)務(wù)拓展期���,支付機(jī)構(gòu)普遍都降低了商戶準(zhǔn)入門(mén)檻��,留檔要求越來(lái)越低�����,費(fèi)率也一降再降�����,滋生了相當(dāng)數(shù)量的套現(xiàn)甚至詐騙事件����,且更不易偵測(cè)��。
3�����、區(qū)塊鏈技術(shù)去中心化的發(fā)展�,支付寶是否會(huì)在將來(lái)受到影響�?
不會(huì)�����,即使區(qū)塊鏈大熱���,穩(wěn)定而有良好支持公司和團(tuán)隊(duì)的支付渠道仍是大勢(shì)所趨���,區(qū)塊鏈從某種角度上也會(huì)在很多技術(shù)和使用環(huán)境上起到優(yōu)化支付寶的作用,作為消費(fèi)者的我�����,還是更喜歡穩(wěn)定且安全接受程度低的支付渠道�����,希望微信和支付寶仍然能分庭抗禮����,不要有任何一家的壟斷,這樣對(duì)消費(fèi)者才是最大的優(yōu)勢(shì)�,還有就是支付寶和微信的福利以后更多多,哈哈哈�,蚊子肉也是肉啊~~
作者: kangtian 時(shí)間: 2018-03-13 14:00
1����、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因��。
只要沒(méi)有成為事故�,支付寶方絕對(duì)不會(huì)承認(rèn)曾被攻破����。我相信肯定有黑客成功攻破支付寶,只不過(guò)沒(méi)有造成大的影響�����。黑客求財(cái)���,支付寶方破財(cái)消災(zāi)���,息事寧人。
另外����,防止被黑,除了技術(shù)方面的防御之外��,還要依靠法律的威懾和道德的教化。
2�����、對(duì)于如今普遍存在的掃碼支付����,你認(rèn)為有何隱患?
只要不掉以輕心��,仔細(xì)核對(duì)交易信息����,支付本身不會(huì)出現(xiàn)什么問(wèn)題。我擔(dān)心的是隱私泄露以及寡頭的產(chǎn)生�。毫無(wú)疑問(wèn),微信和支付寶已經(jīng)成為移動(dòng)支付領(lǐng)域的寡頭�����,面對(duì)這種體量的寡頭�����,我們會(huì)失去很多選擇�����。
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展���,支付寶是否會(huì)在將來(lái)受到影響?
區(qū)塊鏈技術(shù)本身就是一種犧牲效率提高安全的技術(shù)����,支付寶卻是非常注重效率的(每秒要處理數(shù)百萬(wàn)次交易),短期內(nèi)支付寶不會(huì)受到影響��。
作者: yehuafeilang 時(shí)間: 2018-03-15 09:25
風(fēng)險(xiǎn)太大�,攻破了支付寶,那就是攻破了一個(gè)相當(dāng)大的金融機(jī)構(gòu)�。∵@個(gè)錢(qián)哪個(gè)敢用�����?代價(jià)估計(jì)就是樓上說(shuō)的進(jìn)號(hào)子了
作者: xiaoshi20cn 時(shí)間: 2018-03-17 17:03
是人就會(huì)犯錯(cuò)����,只是看錯(cuò)誤大小。
作者: jszxcyit 時(shí)間: 2018-03-20 16:12
1��、淺談你認(rèn)為支付寶等程序至今無(wú)人攻破的原因
個(gè)人感覺(jué)對(duì)于支付寶這種規(guī)模的公司來(lái)說(shuō),無(wú)論是人員保障還是技術(shù)保障��,其風(fēng)險(xiǎn)等級(jí)一點(diǎn)都不亞于銀行系統(tǒng)�,其次支付寶在網(wǎng)絡(luò)安全方面對(duì)安全的等級(jí)定義也是相當(dāng)嚴(yán)格。
2���、對(duì)于如今普遍存在的掃碼支付���,你認(rèn)為有何隱患?
當(dāng)前最大的隱患就是那些別有用心的人員�����,偽造二維碼���,對(duì)于很多對(duì)掃碼支付不熟悉的人員來(lái)說(shuō)���,很有可能就不會(huì)掃碼支付了,對(duì)于后期的推廣也存在一定的問(wèn)題����。
3、區(qū)塊鏈技術(shù)去中心化的發(fā)展,支付寶是否會(huì)在將來(lái)受到影響��?
區(qū)塊鏈技術(shù)的發(fā)展��,可以說(shuō)肯定會(huì)對(duì)支付寶帶來(lái)影響的����,不過(guò)這也是一個(gè)行業(yè)趨于完善的過(guò)程,帶來(lái)沖擊的同時(shí)��,無(wú)論是對(duì)支付寶還是區(qū)塊鏈的發(fā)展來(lái)說(shuō)都是雙贏的��。
作者: ylfind 時(shí)間: 2018-04-01 23:08
總么說(shuō)膩
1. 馬云自己說(shuō) 清了最少100個(gè)專(zhuān)家包括(銀行�、計(jì)算機(jī)��、刑偵�����、財(cái)務(wù)等方面)��。
2. 自身的資本�����,能請(qǐng)到中國(guó)最好的技術(shù)團(tuán)隊(duì)
3. 支付寶和銀行基本可以用等號(hào)連接,想想之前的烏云網(wǎng)�。。細(xì)節(jié)不深聊����。
作者: 創(chuàng)藍(lán)253 時(shí)間: 2018-04-11 17:44
你以為就支付寶一個(gè)公司在做防御壁壘?
你多了解了解短信驗(yàn)證碼����、風(fēng)控系統(tǒng)這些企業(yè)服務(wù)這塊吧。支付寶并不是阿里在單打獨(dú)斗��,背后有更多的技術(shù)在支撐著�。我們就是做這一塊的企業(yè)服務(wù)的。
作者: renxiao2003 時(shí)間: 2018-04-17 12:25
如果攻破了你還敢用嗎����?
作者: tree_fox 時(shí)間: 2018-08-19 11:30
還有雨傘送嗎~~~哈哈
作者: tree_fox 時(shí)間: 2018-08-19 11:30
這個(gè)時(shí)節(jié),雨傘是圣物
作者: waker 時(shí)間: 2018-10-06 07:18
違法的事不能干
| 歡迎光臨 Chinaunix (http://72891.cn/) |
Powered by Discuz! X3.2 |