V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
aisibi
V2EX  ›  问与答

不懂就问, 12306 的 bypass 软件的自动支付功能是什么原理

  •  
  •   aisibi · 2023-01-06 10:23:48 +08:00 · 5260 次点击
    这是一个创建于 666 天前的主题,其中的信息可能已经有所发展或是发生改变。

    不懂就问, 12306 bypass 软件的自动支付功能是什么原理

    我的疑问是为什么只需要支付宝账号和支付密码, 而不需要支付宝登录密码, 就可以自动支付

    一般地, 支付密码是六位纯数字, 不担心数字密码碰撞吗, 假如用别人的支付宝购票付款成功多可怕

    pSAyyqK.png pSA6cyq.md.png

    32 条回复    2023-01-13 08:26:44 +08:00
    xingL
        1
    xingL  
       2023-01-06 10:26:12 +08:00
    支付宝网页支付不需要登录密码
    NeroKamin
        2
    NeroKamin  
       2023-01-06 10:31:43 +08:00   ❤️ 1
    我理解安全方面的防护和限制应该是支付宝侧在做吧,bypass 只是用支付宝账户和支付密码模拟支付的过程
    Xusually
        3
    Xusually  
       2023-01-06 10:33:29 +08:00   ❤️ 1
    OP 没用过支付宝网页支付?
    试试看就知道了本身就只需要支付密码。
    hkyshefavor
        4
    hkyshefavor  
       2023-01-06 10:39:41 +08:00
    用支付宝捐赠 1 分钱,你就知道手机网页支付只要支付密码
    justfindu
        5
    justfindu  
       2023-01-06 10:40:34 +08:00   ❤️ 1
    你连这个都提供? 是真的信任这软件啊
    aisibi
        6
    aisibi  
    OP
       2023-01-06 10:41:03 +08:00
    多谢楼上几位大佬科普. 目前来看确实是支付宝官方的网页接口, 仅需支付宝账号和支付密码即可支付. 然后 bypass 模拟提交数据到支付宝网页版.

    同时也找到相似提问, 答案也同上面的说法类似. https://v2ex.com/t/598642#r_7864574

    不过总感觉这个接口是自己意料之外的. 主要感觉六位数字密码真的好容易被密码碰撞, 感觉这个支付的口子开得好大
    november
        7
    november  
       2023-01-06 10:57:19 +08:00
    支付密码是可以自己设的吧,不局限于 6 位纯数字。我的密码就超过 10 位了。
    hhjswf
        8
    hhjswf  
       2023-01-06 10:59:49 +08:00 via Android
    卧槽这也敢给。。
    cslive
        9
    cslive  
       2023-01-06 11:06:55 +08:00
    网页上的支付密码不是你手机上设置的 6 位数字,这个可以设置的很复杂,用于网页淘宝付款的时候要求输入支付密码
    wccc
        10
    wccc  
       2023-01-06 11:10:53 +08:00
    支付宝 还算安全了 有些信用卡支付 只要卡号 cvv
    agagega
        11
    agagega  
       2023-01-06 11:13:44 +08:00
    支付宝网页版直接进支付界面的时候,不用输登录密码,前后输两次支付密码就行,这个 feature 起码十年了。那会支付密码还没有限制只能为 6 位数字,各种符号都可以,后来突发奇想才改得跟银行卡密码一样。
    also24
        12
    also24  
       2023-01-06 11:25:31 +08:00 via Android
    lixiang2017
        13
    lixiang2017  
       2023-01-06 12:09:24 +08:00 via Android
    问一个别的。现在 12306 官方提供候补车票的功能,bypass 还有各种刷票网站基本没用了吧?
    chotow
        14
    chotow  
       2023-01-06 12:32:59 +08:00 via iPhone   ❤️ 1
    @lixiang2017 #13 软件抢候补比手动快,然后就是挂机捡漏
    Ocean810975
        15
    Ocean810975  
       2023-01-06 12:52:56 +08:00 via Android
    @lixiang2017 放票的一瞬间软件买票还是比手动快很多的,而且候补越早得票概率越大,不过感觉这两年除了春运倒是没啥需要抢票的时候了,基本上开车前都能有空余的票。
    lovelylain
        16
    lovelylain  
       2023-01-06 13:23:23 +08:00 via Android
    op 可以卸载支付宝 APP ,然后其他 app 例如抖音下单选支付宝支付,就清楚了
    ONEBOYS
        17
    ONEBOYS  
       2023-01-06 15:50:39 +08:00
    @hhjswf 楼主说的不是敢不敢给密码的问题,而是说别有用心的人如果收集了几万几十万个支付宝账号,然后每个通过密码碰撞进行支付的风险度问题。如果每个支付宝账号密码( 6 位数字)一天可以试错 5 次,那每天刷 100 万个支付宝账号,概率上就有 5 个是能成功的。如果支付宝没有其他防御机制,这种风险还是相当大的。
    wangxiaoaer
        18
    wangxiaoaer  
       2023-01-06 16:02:04 +08:00
    @ONEBOYS #17 阿里是吃素的?还每天 100 万个,章口就来啊😁
    magic3584
        19
    magic3584  
       2023-01-06 16:30:48 +08:00
    @lixiang2017 #13
    还是有用的,最起码可以同时候补多个(前两年关注了)
    eason1874
        20
    eason1874  
       2023-01-06 16:33:12 +08:00
    放心吧,碰撞不了,跟银行卡一样,连续几次错误就触发风控了
    chenmobuys
        21
    chenmobuys  
       2023-01-06 16:41:22 +08:00
    你提供支付密码,也是蛮勇的
    ShundL
        22
    ShundL  
       2023-01-06 16:46:27 +08:00
    @ONEBOYS 会不会有一种可能(我说假如,并不知道是否有这种验证,或者 alipay 更智能),同 IP 或设备连续刷几次账号支付错误后,触发风控?
    ZoeeoZ
        23
    ZoeeoZ  
       2023-01-06 16:50:40 +08:00   ❤️ 1
    @ShundL 事实上支付宝的风控还是很厉害的,一般不会出现错判
    yukiww233
        24
    yukiww233  
       2023-01-06 16:56:33 +08:00
    海外信用卡的在线支付也是校验一个 3 位数字的 cvc 和一个年+月就可以了,可行的碰撞组合比 6 位数字还少的多
    实际上多错几次早就锁卡了
    ONEBOYS
        25
    ONEBOYS  
       2023-01-06 17:18:44 +08:00   ❤️ 2
    @wangxiaoaer 支付宝正常交易一天就有上亿笔,非法请求不见得少多少量。支付宝的攻防那确实是神仙打架,能亮出来网页版账密直付就说明风险几乎没有,但这样倒推的讨论有意义吗?
    yaphets666
        26
    yaphets666  
       2023-01-06 17:22:40 +08:00
    @lixiang2017 有用,候补也是要抢的,候补应该是按顺序给票的。另一种情况就是,有时候会放一些车票出来(越过候补),你 24 小时挂着就能抢到。
    ONEBOYS
        27
    ONEBOYS  
       2023-01-06 17:26:53 +08:00   ❤️ 1
    @ShundL 听楼上分析,支付请求是 bypass 传递过去的,不知道走不走服务端,如果走,那被锁的应该是 bypass 服务器。但我觉得是不走的,所以楼主输密码其实也没风险😏
    hkezh
        28
    hkezh  
       2023-01-06 22:47:37 +08:00 via iPhone
    难道有票不是先给候补吗
    zhangkc
        29
    zhangkc  
       2023-01-07 04:57:10 +08:00 via iPhone
    你 12306 可是实名制,换个不同名的支付宝试试?
    t133
        30
    t133  
       2023-01-07 07:50:14 +08:00 via iPhone
    @yukiww233 实际上还有个 zip code 和 billing address
    wanqiuyao
        31
    wanqiuyao  
       2023-01-08 08:59:05 +08:00 via iPhone
    我需要软件楼主给个链接
    ericlgq2
        32
    ericlgq2  
       2023-01-13 08:26:44 +08:00 via Android
    海外信用卡按理说安全性比支付宝差很多,但是大家照用,反正出了问题是银行赔。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2570 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 15:38 · PVG 23:38 · LAX 08:38 · JFK 11:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.