WooYun.org

而且这个我提交的时候写的不是支付宝啊……写的是中国邮政储蓄……因为需要先到邮政储蓄发起申请，然后再在支付宝/财付通中更新，才算正式注册为快捷支付用户。主要问题是出在邮政储蓄这边的啊……

@风星剑仙 你怎么用马甲额 支付宝会联系邮政的 这种问题一般是内部接口也有问题吧？

@xsser 多谢，其实只要邮政做个简单的判定就好了啊，关接口什么事……完全没必要的嘛……

@xsser 另外，嗯，悲剧的我360极速浏览器的Cookies出问题了，死活也登不了乌云，哭……我又不想清Cookies……再哭……

@风星剑仙 这个问题 我觉得会被忽略的

财付通回复：我们完整复现了您所描述的流程，认为您提到的以下三个关键环节并不存在漏洞： 1）柜台没有开通网银的用户，通过输入卡号和取款密码等卡主才知道的信息在邮储网站上注册后，只能获得查询性质的功能，并不能开通支付相关的功能，虽然可以通过修改页面的方式强行提交卡号（无论和登陆的卡号一致还是不一致），但是银行会报“账号/卡号尚无权限进行此交易”，所以没有漏洞； 2）我们对柜台开通网银的用户和邮储网上注册的用户的修改手机进行了测试，发现在3个修改手机的入口，手机都不是随意修改的，短信验证码始终会发向开户时登记的手机；如果开户时没有登记手机或者原手机已经遗失，只能去柜台修改手机； 3）财付通目前不支持小额免支付密码，所以不存在小额免支付密码后依赖手机短信验证码的问题。 另外，借助此过程，我们也完整复核了邮储一点通签约全程的风险，确认在邮储侧和财付通侧均无可被利用的漏洞。 整个支付链的安全需要大家一起维护，感谢您的问题

@xsser 咋会跑到财付通的？

@horseluke 看标题

@xsser 我想上面那位写这个标题，阐述的主要内容是，网银自注注册账户（只有查询余额权限）可以绕过银行柜台的业务办理，开通支付宝和财付通的快捷支付。只是上面那位不了解快捷支付的流程，当前比较流行的快捷支付有两种验证方式，1短信验证 是在快捷支付渠道输入 银行卡资料 开户人姓名 开户人身份证号码 开户人卡号 开户人预留手机 提交以上完全无错误的资料预留手机会收到验证码，输入验证码无需ATM密码即可完成支付，2语音回拨电话验证 这种方式只需要卡号 身份证 和任意一个能接通电话的手机号码电话即可，在接收到支付渠道的语音声讯电话后根据提示音输入ATM密码完成支付。以上是快捷支付属于小额支付，还有一点通是第三方的支付平台帐号绑定银行卡一次，以后支付无需繁琐。现如今各大银行对这个银行卡的支付交易安全机制在各个不同的支付渠道以及不同的支付商户都会给与不同的支付限额。可以说只要知道卡号，密码，身份证，预留的手机号码，ATM. 卡不在身边，手机不再身边，一样会出现经济危机。只是走的除支付宝或财付通以外的第三方渠道。什么U盾 K宝，口令卡在那些网络小偷眼里都是浮云。

@xsser 多谢财付通的回复，另外，我在测试的时候，并没有出现贵方所提到问题1：“账号/卡号尚无权限进行此交易”。我成功的强制提交，并且也成功的绑定了财付通账号，另外，我的卡也并没有通过柜台办理类似的业务，甚至包括网银和电话银行。但是，在查询时确实碰到了该问题，但是申请时却并不存在该问题。另外，申请时，在邮政页面上的手机是可以任意填写的。关于用户真实姓名的验证并没有做过类似的了解与调查，我当时想当然的认为可以通过办理快捷支付而直接成为实名认证的财付通。那么假使这样的话……

@K1night 多谢你的理解

@K1night 开户人预留手机？其实我一直在这个地方上犯迷糊。预留手机是指开户时填写的手机号，还是还要另外填写的？我有张卡，一直没能开通过快捷支付，就是提示没有填写预留手机号。如果现在开卡，这两个是合并处理的，那挺危险的...然后语音回拨，也是要预留手机号才成的么？