发布时间:2019-5-29 分类: 电商动态
新浪科技新闻10月24日下午,在黑客大赛的GeekPwn网站上,极客们在Dudu指甲充值系统中提交了一个漏洞。攻击者可以利用此漏洞利用其他支付工具(如支付宝微信)来查看其他支付工具。
在用户发起购买之后,商家APP将向支付应用程序发送支付请求。 Dudu钉子的问题在于,在发送付款文件的过程中,由于没有加密,这些数据可能被APP中的中间人劫持和篡改。
作为回应,支付宝回应说,例如,A和B用户都在相同(或不同的商家)购买商品,并且A用户使用的APP请求数据被商家App中的中间人劫持。在向支付工具发送付款请求时。然后改为B用户的实际支付账单,使A用户看到他在手机上付款,但实际上是为B用户付款。一般来说,当服务员支付账单时,它就像是另一张桌子的清单,并向收银员付款。
支付宝表示虽然这个漏洞存在于商家方面,但它与支付工具无关。但是,由先前商家应用程序的漏洞引起的信息被劫持,这将影响后端中的所有支付应用程序。因此,在披露此漏洞后,支付宝呼吁微博上的所有支付行业同事通知商家检查是否存在相同的漏洞,并帮助商家共同修复漏洞并控制风险。
支付宝表示,作为支付行业的一员,我们深知在安全方面没有人能够免于安全。所有支付行业的同事和商家都是一个整体。保护用户安全是我们的共同目标。在了解了整个行业和用户的情况后,支付宝首次联系了美甲应用,并愿意帮助其进行紧急维修。 (尚紫)