乌云曝淘宝用户账号信息泄露漏洞

乌云曝淘宝用户账号信息泄露漏洞

黑客接单访客2021-10-12 0:36:009994A+A-

  今日,乌云漏洞公开了一个关于导致任意淘宝账号信息泄露的漏洞。该漏洞于10月13日由乌云白帽子谢祥应提出,通过这个漏洞可以获取淘宝会员的姓名、手机、邮箱信息。目前,厂商已经确认漏洞并进行恢复。

  白帽子谢祥表示,在淘宝购物拍下一件商品后申请代付,写上需要查的淘宝账号。到确认时,查找以“2008”开头的源代码,找到:

  <input type="hidden" name="peerPayerCardNo" value="2088412456214924") />

  这步也可以在代付记录里审核元素查看,然后在火狐上模拟手机访问网页,跳转到手机版付款界面,选择其他方式支付。

  根据下图所示,进行代码替换。

  具体操作参见漏洞演示视频,如下:

  通过以上视频中演示的这个方法可以查询会员的支付宝电话。如果这些被泄露的电话落到坏人手里就可以实施一系列的诈骗活动。为什么近期那么多人接到说是淘宝客服的电话呢?原因在于很多人已经掌握了这个漏洞,现在市面上很多采集软件能自动采集淘宝网全网没有匿名的用户。在此,小编提醒淘宝用户小心被钓鱼。

  值得一提的是,淘宝存在的安全问题已不是第一次被曝光。今年2月份,乌云平台就曾曝出淘宝安全认证机制存在漏洞,黑客可以简单利用该漏洞登录他人淘宝/支付宝账号进行操作——任何人无需密码,只需通过搜索引擎、便可直接获取其他用户的隐私(账户余额、交易记录、收货地址、姓名手机号码等敏感信息)。去年10月,乌云漏洞平台亦发布信息报告称,阿里推出的移动通信软件“来往”出现安全漏洞。漏洞描述中称“来往导致淘宝账号可被破解,波及余额宝支付宝。”而在阿里将淘宝、支付宝、来往等账号打通的背后,但凡有一端出现漏洞,其它账号也将受牵连。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 澄萌戏侃2022-05-28 17:46:03
  • 描述中称“来往导致淘宝账号可被破解,波及余额宝支付宝。”而在阿里将淘宝、支付宝、来往等账号打通的背后,但凡有一端出现漏洞,其它账号也将受牵连。
  • 莣萳心児2022-05-28 08:36:53
  • 记录里审核元素查看,然后在火狐上模拟手机访问网页,跳转到手机版付款界面,选择其他方式支付。  根据下图所示,进行代码替换。  具体操作参见漏洞演示视频,如下:  通过
  • 辙弃零栀2022-05-28 15:18:26
  • 、便可直接获取其他用户的隐私(账户余额、交易记录、收货地址、姓名手机号码等敏感信息)。去年10月,乌云漏洞平台亦发布信息报告称,阿里推出的移动通信软件“来往”出现安全漏洞。漏洞描述中称“来往导致淘宝账号可被破解,波及余额宝支付宝。”而在阿里将淘宝、支付宝、来往等账号打通的背后,但凡有一
  • 美咩山柰2022-05-28 11:36:52
  • 拍下一件商品后申请代付,写上需要查的淘宝账号。到确认时,查找以“2008”开头的源代码,找到:  <input type="hidden" name="peerPayerCardNo" value="208841245

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理