在互联网的这个时代里,线上支付几乎无处不在,而我们所认为的微信支付和支付宝支付也都是安全的,我们的资金是无法被别人盗取的,但是事实是,我们手机里面的钱,真的能保证万无一失,不被盗取吗?在黑客世界里有一句话是:没有绝对安全的系统,一切用户输入都是不可信的。所以即使是微信支付和支付宝支付,也不是绝对安全的。
首先我们先列一下微信支付宝历史上曾经出现的安全漏洞
2018-07-04,微信支付的SDK曝出重大漏洞(XXE漏洞)
通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,各种私钥等。获取这些信息以后,用户基本上可以操纵任何系统上面的信息,其中就包括众多媒体所宣传的“0元也能买买买”。此次曝出的漏洞XML外部实体注入(XML External Entity Injection)。
XML文档除了可以包含声明和元素以外,还可以包含文档类型定义(即DTD);
在DTD中,可以引进实体,在解析XML时,实体将会被替换成相应的引用内容。该实体可以由外部引入(支持http、ftp等协议,后文以http为例说明),如果通过该外部实体进行攻击,就是XXE攻击。
可以说,XXE漏洞之所以能够存在,本质上在于在解析XML的时候,可以与外部进行通信;当XML文档可以由攻击者任意构造时,攻击便成为可能。在利用XXE漏洞可以做的事情当中,最常见最容易实现的,便是读取服务器的信息,包括目录结构、文件内容等;微信支付爆出的漏洞便属于这一种。也就是说仿照相关攻击方式便可以获取几乎微信支付的所有数据,包括直接模拟支付,使用0元购买商品等等。
应用中存储的秘钥一旦泄露,攻击者便可以完全绕过签名认证,这是因为微信支付使用的是对称式的签名认证:微信方和应用方,使用相同的秘钥对相同的明文进行MD5签名,只要应用方的秘钥泄露,签名认证就完全成了摆设。
支付宝的加密方式则不同,支付宝为应用生成公私钥对,公钥由应用方保存,私钥由支付宝保存;在回调时,支付宝使用私钥进行签名,应用方使用公钥进行验证;这样只要支付宝保存的私钥不泄露,攻击者只有公钥则难以通过签名认证。可以说在加密这方面,支付宝要比微信要更为安全和可靠。
2017年1月10日陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝。
熟人100%可以登录你的支付宝。只需三步,便可成功地修改你支付宝任意好友的支付宝密码下面我们可以详细还原一下这个“成功修改你好友支付宝密码”的过程。
第一步:忘记密码
只要你添加过一个支付宝好友,你就会知道他的帐号,这个时候,填入这个帐号,选择“忘记密码”,你就可以进行到下一步了。
第二步:无法接收短信
当你选择了“忘记密码”并选择“下一步”之后,账号拥有者的手机会收到关于“校验码”的信息。但是,这个时候,操作者是可以选择“无法接受短信”的。虽然无论如何系统都会触发一条短信,但如果帐号拥有者没有及时看到短信,他是不会警觉,也完全不会知道自己的密码马上就会被修改的。
第三步:找回密码
在操作端选择“无法接收短信”之后,系统会让你做一些“选择题”,选一个您“购买过的商品”和选一个您可能“认识的人”,这个时候,如果是你和帐号拥有者是熟人,TA平时的购买喜好和好友,你多试几次,应该还是很好选的。
而就算你对帐号拥有者不那么熟悉,理论上你也有一定概率可以顺利通过这个验证。
当然,如果你真的被卡在这个环节,也仍然还有出路。你可以点击上图“换个方式找回密码”。
这个时候,系统会给出一些选项,例如刷脸认证呀,回答问题呀等等。当初有一个选项是直接选用你支付宝里面存在的好友的头像,即可修改密码。这是当年爆出的最大的支付宝bug。
当然,大部分的攻击方式除了系统本身的漏洞之外,更多的是社会工程学的攻击。如今微信支付宝已经从单纯互联网应用转变为结合政府个人征信等认证的组织。其建立的五层风险防护体系更是加强其防护力。
(第一级,当用户进行支付交易时,支付宝最先做出反应的是终端环境保护体系。在这一环节,支付宝与浏览器及反病毒厂商都建立了合作,对钓鱼网站进行智能识别、过滤。江朝阳透露,支付宝每天拦截5000个钓鱼网站。
第二级,用户认证系统,用户需要上传真实的个人身份信息,在通过公安网等5个身份比对系统的验证和判断后,成为“支付宝实名认证账户”。此外,还包括实名管理、黑名单、客户尽职调查、客户风险分级,风险账户处理等。
第三级,隐私保护,支付宝的信息安全与隐私保护体系会对用户的信息进行敏感度分级,并对存储、访问、传输进行全程控制,保证敏感信息不会遭到恶意泄露。
第四级,账户保护,安全产品包括数字证书,动态口令等。数字证书是对用户使用的电脑进行唯一的身份标识;动态口令则是向用户绑定的手机发送校验码,以此确定账户使用者的身份。
第五级,交易保护。对用户的交易行为进行监控和识别,支付宝对用户行为数据进行分析并建立了风险模型,一旦发现实时交易存在风险,会立刻进行拦截,并向用户人工确认。)
而且攻击腾讯或是阿里巴巴的服务器的后果十分的严重,因为即使你成功的篡改了自己的微信或是支付宝之中的数字,但是你怎么花出去呢?只要花出去就会被发现,因为这不像伪造现金流通起来相对的比较方便,手机支付之中的每一笔数字都是有数据记载的,所以即使你成功的更改了自己的微信支付宝的钱包余额,那么也只能自己看看而根本就花不出去。
