支付宝流程设计存在安全缺陷，会导致跨域攻击，咸鱼/淘宝交易慎扫不明二维码

支付宝流程设计存在安全缺陷，会导致跨域攻击，咸鱼/淘宝交易慎扫不明二维码 目前支付宝存在逻辑漏洞，一个精心构造的虚假页面可以直接拉起确认收货提示框，如果此时确认收货会钱货两空。 虽然确认收货需要二次验证（密码、指纹、面容），但如果使用了 Face ID，这个二次验证基本等于自动确认。Mozzie（蚊子）大佬来展示复现过程，可以看到在开启 Face ID 的情况下会直接完成确认收货操作。 目前支付宝似乎已对大额交易进行风控（确认收货后仍然冻结 3 天资金），但是小额交易仍需谨慎。 这个问题在一周前就已在知乎（）和小红书等平台被数人提起，但至今除了风控之外没有进一步动作。（Soha 的日常） 淘宝系 App 本身并不提供担保服务，担保交易功能由支付宝提供。这个接口是公开的 isbridge 接口，不管是阿里系还是第三方都在调用这个接口。接口设计之初并没有考虑到根据调用域名来鉴权，所以并不容易改动。 PS ：看起来调用这个接口时支付宝并没有做二次确认，直接触发了确认流程（ FaceID ) ，连付款都是假的。这个页面全套流程都是假的，但用户看到的流程和「支付 1 元」的流程别无二致，大概也是这么多人上当的原因。反而不是代码上的漏洞，而是逻辑上的漏洞。最简单的修复方式大概是在支付宝 SOK 里对「确认收货」行为做二次弹窗确认了。 在官方修复前（距问题发现已一周多），目前能想到的缓解措施如下： · 避免扫难以确认安全性的二维码，尤其是在网购交易过程中 · 关闭人脸支付，避免扫到问题二维码后，无交互式的直接确认了 · 关闭小额免密支付

Windows系统现高危漏洞，攻击者可通过Wi-Fi远程入侵设备

Windows系统现高危漏洞，攻击者可通过Wi-Fi远程入侵设备 根据美国国家漏洞数据库公布的信息，该漏洞存在于 Windows 的 Wi-Fi 驱动程序中，属于远程代码执行漏洞。攻击者只需在物理上接近受害者设备，即可通过 Wi-Fi 接管设备，无需与目标计算机建立物理连接。微软已确认，除了物理接近要求外，攻击者不需要任何特殊访问权限或其他特殊条件即可成功利用该漏洞。 该漏洞被编号为，攻击者无需以用户身份进行身份验证，不需要访问受害者计算机上的任何设置或文件，受害者设备用户不需要进行任何交互操作，无需点击链接、加载图像或执行文件。 由于此漏洞的性质，在设备密集的环境中风险尤为显著，例如酒店、贸易展览会等场所，在这些地方，攻击者可在不引起警觉的情况下对大量用户发动攻击。 ，

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险 原理: 部分应用内置支付宝支付组件，可在用户无支付宝 App 环境下快捷付款，但该组件存在可被抓包劫持的问题，攻击者可通过流量抓包捕获验证码请求，并篡改短信获取手机号码实现验证码登录，但支付仍然需要支付密码才能成功支付 漏洞级别:重要［需要用户注意］ 漏洞利用难度: 一般［攻击者需要持有目标多项信息，但信息获取难度较低，虽然支付宝存在安全风控防护，但仍然存在被批量风险］ 注意: 由于国内隐私问题，大量公民个人信息泄露，攻击者非常容易凑齐大量公民的手机号码，户主名称以及身份证号码，加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码，攻击者非常容易实现批量碰撞盗刷 由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内，但每次付款仍然需要输入支付密码，但更改支付密码并不能将所有设备踢出支付状态。 攻击者在获取登录状态过后，可持续性的查看账号内的金额，绑定卡片等一系列私密信息 处置建议: 更改自己支付宝支付密码，尽量不要使其与自己身份产生关联，采用随机六位数字，避免使用生日等重要日期，开启支付宝通知权限，及时获取支付消息，确保每一笔支付由本人支付 注意: 由于支付宝存在安全支付风控措施，所以攻击者只能尝试进行小额支付，用户需注意自己账户是否出现密集的小额扣款及未知小额扣款