1
xingL 2023-01-06 10:26:12 +08:00
支付宝网页支付不需要登录密码
|
2
NeroKamin 2023-01-06 10:31:43 +08:00 1
我理解安全方面的防护和限制应该是支付宝侧在做吧,bypass 只是用支付宝账户和支付密码模拟支付的过程
|
3
Xusually 2023-01-06 10:33:29 +08:00 1
OP 没用过支付宝网页支付?
试试看就知道了本身就只需要支付密码。 |
4
hkyshefavor 2023-01-06 10:39:41 +08:00
用支付宝捐赠 1 分钱,你就知道手机网页支付只要支付密码
|
5
justfindu 2023-01-06 10:40:34 +08:00 1
你连这个都提供? 是真的信任这软件啊
|
6
aisibi OP 多谢楼上几位大佬科普. 目前来看确实是支付宝官方的网页接口, 仅需支付宝账号和支付密码即可支付. 然后 bypass 模拟提交数据到支付宝网页版.
同时也找到相似提问, 答案也同上面的说法类似. https://v2ex.com/t/598642#r_7864574 不过总感觉这个接口是自己意料之外的. 主要感觉六位数字密码真的好容易被密码碰撞, 感觉这个支付的口子开得好大 |
7
november 2023-01-06 10:57:19 +08:00
支付密码是可以自己设的吧,不局限于 6 位纯数字。我的密码就超过 10 位了。
|
8
hhjswf 2023-01-06 10:59:49 +08:00 via Android
卧槽这也敢给。。
|
9
cslive 2023-01-06 11:06:55 +08:00
网页上的支付密码不是你手机上设置的 6 位数字,这个可以设置的很复杂,用于网页淘宝付款的时候要求输入支付密码
|
10
wccc 2023-01-06 11:10:53 +08:00
支付宝 还算安全了 有些信用卡支付 只要卡号 cvv
|
11
agagega 2023-01-06 11:13:44 +08:00
支付宝网页版直接进支付界面的时候,不用输登录密码,前后输两次支付密码就行,这个 feature 起码十年了。那会支付密码还没有限制只能为 6 位数字,各种符号都可以,后来突发奇想才改得跟银行卡密码一样。
|
12
also24 2023-01-06 11:25:31 +08:00 via Android
|
13
lixiang2017 2023-01-06 12:09:24 +08:00 via Android
问一个别的。现在 12306 官方提供候补车票的功能,bypass 还有各种刷票网站基本没用了吧?
|
14
chotow 2023-01-06 12:32:59 +08:00 via iPhone 1
@lixiang2017 #13 软件抢候补比手动快,然后就是挂机捡漏
|
15
Ocean810975 2023-01-06 12:52:56 +08:00 via Android
@lixiang2017 放票的一瞬间软件买票还是比手动快很多的,而且候补越早得票概率越大,不过感觉这两年除了春运倒是没啥需要抢票的时候了,基本上开车前都能有空余的票。
|
16
lovelylain 2023-01-06 13:23:23 +08:00 via Android
op 可以卸载支付宝 APP ,然后其他 app 例如抖音下单选支付宝支付,就清楚了
|
17
ONEBOYS 2023-01-06 15:50:39 +08:00
@hhjswf 楼主说的不是敢不敢给密码的问题,而是说别有用心的人如果收集了几万几十万个支付宝账号,然后每个通过密码碰撞进行支付的风险度问题。如果每个支付宝账号密码( 6 位数字)一天可以试错 5 次,那每天刷 100 万个支付宝账号,概率上就有 5 个是能成功的。如果支付宝没有其他防御机制,这种风险还是相当大的。
|
18
wangxiaoaer 2023-01-06 16:02:04 +08:00
@ONEBOYS #17 阿里是吃素的?还每天 100 万个,章口就来啊😁
|
19
magic3584 2023-01-06 16:30:48 +08:00
@lixiang2017 #13
还是有用的,最起码可以同时候补多个(前两年关注了) |
20
eason1874 2023-01-06 16:33:12 +08:00
放心吧,碰撞不了,跟银行卡一样,连续几次错误就触发风控了
|
21
chenmobuys 2023-01-06 16:41:22 +08:00
你提供支付密码,也是蛮勇的
|
22
ShundL 2023-01-06 16:46:27 +08:00
@ONEBOYS 会不会有一种可能(我说假如,并不知道是否有这种验证,或者 alipay 更智能),同 IP 或设备连续刷几次账号支付错误后,触发风控?
|
24
yukiww233 2023-01-06 16:56:33 +08:00
海外信用卡的在线支付也是校验一个 3 位数字的 cvc 和一个年+月就可以了,可行的碰撞组合比 6 位数字还少的多
实际上多错几次早就锁卡了 |
25
ONEBOYS 2023-01-06 17:18:44 +08:00 2
@wangxiaoaer 支付宝正常交易一天就有上亿笔,非法请求不见得少多少量。支付宝的攻防那确实是神仙打架,能亮出来网页版账密直付就说明风险几乎没有,但这样倒推的讨论有意义吗?
|
26
yaphets666 2023-01-06 17:22:40 +08:00
@lixiang2017 有用,候补也是要抢的,候补应该是按顺序给票的。另一种情况就是,有时候会放一些车票出来(越过候补),你 24 小时挂着就能抢到。
|
27
ONEBOYS 2023-01-06 17:26:53 +08:00 1
@ShundL 听楼上分析,支付请求是 bypass 传递过去的,不知道走不走服务端,如果走,那被锁的应该是 bypass 服务器。但我觉得是不走的,所以楼主输密码其实也没风险😏
|
28
hkezh 2023-01-06 22:47:37 +08:00 via iPhone
难道有票不是先给候补吗
|
29
zhangkc 2023-01-07 04:57:10 +08:00 via iPhone
你 12306 可是实名制,换个不同名的支付宝试试?
|
31
wanqiuyao 2023-01-08 08:59:05 +08:00 via iPhone
我需要软件楼主给个链接
|
32
ericlgq2 2023-01-13 08:26:44 +08:00 via Android
海外信用卡按理说安全性比支付宝差很多,但是大家照用,反正出了问题是银行赔。。。
|