支付宝流程设计存在安全缺陷，会导致跨域攻击，咸鱼/淘宝交易慎扫不明二维码

支付宝流程设计存在安全缺陷，会导致跨域攻击，咸鱼/淘宝交易慎扫不明二维码目前支付宝存在逻辑漏洞，一个精心构造的虚假页面可以直接拉起确认收货提示框，如果此时确认收货会钱货两空。虽然确认收货需要二次验证（密码、指纹、面容），但如果使用了FaceID，这个二次验证基本等于自动确认。Mozzie（蚊子）大佬来展示复现过程，可以看到在开启FaceID的情况下会直接完成确认收货操作。目前支付宝似乎已对大额交易进行风控（确认收货后仍然冻结3天资金），但是小额交易仍需谨慎。这个问题在一周前就已在知乎（）和小红书等平台被数人提起，但至今除了风控之外没有进一步动作。（Soha的日常）淘宝系App本身并不提供担保服务，担保交易功能由支付宝提供。这个接口是公开的isbridge接口，不管是阿里系还是第三方都在调用这个接口。接口设计之初并没有考虑到根据调用域名来鉴权，所以并不容易改动。PS：看起来调用这个接口时支付宝并没有做二次确认，直接触发了确认流程（FaceID)，连付款都是假的。这个页面全套流程都是假的，但用户看到的流程和「支付1元」的流程别无二致，大概也是这么多人上当的原因。反而不是代码上的漏洞，而是逻辑上的漏洞。最简单的修复方式大概是在支付宝SOK里对「确认收货」行为做二次弹窗确认了。在官方修复前（距问题发现已一周多），目前能想到的缓解措施如下：·避免扫难以确认安全性的二维码，尤其是在网购交易过程中·关闭人脸支付，避免扫到问题二维码后，无交互式的直接确认了·关闭小额免密支付——

支付宝 已支持给 微信/QQ 好友转账：可扫描二维码领取

支付宝已支持给微信/QQ好友转账：可扫描二维码领取支付宝现在已可以给微信/QQ等好友转账了，但不是直接转账，而是输入金额后会生成一个二维码，然后微信/QQ好友可以使用支付宝App扫码领取，超过24小时未领取会自动退回。单笔最多可转出2000元。https://www.ithome.com/0/646/852.htm感觉不是转账；而是开具了一张支票/汇票，并做成二维码