漏洞概要
关注数(24)
关注此漏洞
漏洞标题:支付宝上信用卡提现的实现
提交时间:2013-05-08 02:08
修复时间:2013-06-22 02:09
公开时间:2013-06-22 02:09
漏洞类型:设计缺陷/逻辑错误
危害等级:低
自评Rank:5
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-05-08: 细节已通知厂商并且等待厂商处理中
2013-05-09: 厂商已经确认,细节仅向厂商公开
2013-05-19: 细节向核心白帽子及相关领域专家公开
2013-05-29: 细节向普通白帽子公开
2013-06-08: 细节向实习白帽子公开
2013-06-22: 细节向公众公开
简要描述:
如题
详细说明:
支付宝上向他人转账时,规则是不可以使用信用卡来付的
但是有个找他人代付的功能
而被要求代付的人的支付页面却是可以用信用卡支付的
业务逻辑上表现出的结果是,代付行为等同于购买行为
但实质上却实现了转账的功能
而且被转帐方的钱可以提现到储蓄卡中,从而间接实现了信用卡套现
我不知道是不是这个规则是允许的,我个人觉得不妥
漏洞证明:
我用我的三个帐号实现了把信用卡里的钱提现到了银行卡中
a帐号给b帐号付款,请求c帐号代付,c帐号用信用卡支付成功,b帐号提现到储蓄卡成功
补充点细节,不知道对结果是不是有影响的。有一个帐号我使用的是代理登录的,而且b和c帐号绑定的是同一个实名
修复方案:
如果代付类型是转账,应该也不允许用信用卡支付
如果日后清算,请饶过我的100元的测试交易行为
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2013-05-09 16:22
厂商回复:
感谢你对我们的关注与支持,支付宝后台对于信用卡套现有监控系统对相关业务进行实时监控。
最新状态:
暂无
漏洞评价:
评论
-
2013-05-08 02:21 |
circus ( 实习白帽子 | Rank:54 漏洞数:4 | 你会为一件事去说一句话,也会为一句话去干...)
-
2013-05-08 08:50 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
-
2013-05-08 09:19 |
fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)
-
2013-05-08 09:28 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:134 | 多乌云、多机会!微信公众号: id:a301zls ...)
目测从明天开始,提现手续费又要涨了。。。洞主太狠了
-
2013-05-08 10:02 |
iproute ( 路人 | Rank:4 漏洞数:1 | 为路由器生,为交换机死,为Ping通奋斗一辈...)
-
2013-05-08 10:31 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
信用卡套现,联系手机 XXXXXXX @呆子不开口
-
2013-05-08 12:46 |
comp128 ( 路人 | Rank:0 漏洞数:1 | 我是白帽子)
-
2013-05-08 15:31 |
O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)
-
2013-05-08 15:41 |
无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ……肉肉捉活,亭长放解)
-
2013-05-08 17:01 |
hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)
@呆子不开口 唉,这个方法用了段时间了,你这一提交让我以后没钱了情何以堪?
-
2013-05-08 17:02 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:134 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2013-05-08 17:06 |
hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)
@zeracker 其他的我就不清楚了。想想以后信用卡不能套现了,灰暗的日子来临了,只能在家自己撸了。
-
2013-05-08 17:14 |
lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)
-
2013-05-08 17:41 |
呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)
@hongygxiang 你怎么知道我的是什么方法的阿,官方还未确认,说不定是无效的
-
2013-05-09 10:08 |
lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)
@zeracker @hongygxiang 已撸,撸过
-
2013-05-09 10:08 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:134 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2013-05-09 15:00 |
呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)
-
2013-05-09 15:01 |
xsser ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
-
2013-05-09 16:29 |
xsser ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
官方允许对这个套现的监控系统监测不(不查水表的前提下)
-
2013-05-09 16:36 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:134 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2013-05-09 17:01 |
呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)
有监控,不严重,给1分,不公开甲方也不容易,我表示理解过段时间我会再看看这个流程改没改,如果改了,我觉得起码得给2分
-
2013-05-09 17:03 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:134 | 多乌云、多机会!微信公众号: id:a301zls ...)
@呆子不开口 有监控的情况下,还能让N多人(或许有犯罪团队)套现,这算失职?没想过改进,只想过逃避责任。起码得给两分。
-
2013-05-09 17:06 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2013-05-09 17:18 |
xsser ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
-
2013-05-09 17:26 |
小威 ( 普通白帽子 | Rank:492 漏洞数:67 | 活到老,学到老!)
-
2013-05-09 17:28 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
@小威 看到的是1rank,实际给劈成2rank了
-
2013-05-09 17:32 |
呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)
@疯狗 什么意思,没看懂,什么劈成2rank了。乌云股份技术有限公司cfo在么,出来给解释下
-
2013-05-09 17:34 |
呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)
-
2013-05-09 17:46 |
Defa ( 普通白帽子 | Rank:113 漏洞数:13 | <img src=1 onerror=alert(1)>)
-
2013-05-09 17:55 |
docall ( 路人 | Rank:1 漏洞数:1 | 帅哥十枚)
你打人家脸了,给你1分不错了,不然死不承认的。。。
-
2013-05-09 18:31 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:189 | 逆流而上)
-
2013-05-09 19:57 |
小威 ( 普通白帽子 | Rank:492 漏洞数:67 | 活到老,学到老!)
-
2013-05-09 21:51 |
啦绯哥 ( 普通白帽子 | Rank:107 漏洞数:19 )
-
2013-05-10 02:35 |
fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)
-
2013-05-10 10:08 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)
-
2013-06-08 17:20 |
无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ……肉肉捉活,亭长放解)
