今天发现易宝(yeepay)充值卡类支付方式可能存在的安全漏洞!-阿里云开发者社区

开发者社区> 杨俊明> 正文

今天发现易宝(yeepay)充值卡类支付方式可能存在的安全漏洞!

简介: 这二天应朋友之托,要为他的游戏增加一个在线充值功能,因为支付宝/快钱等比较大牌的公司申请商户都要营业执照或付费,于是他选择了易宝支付(www.yeepay.com),下载了SDk开发文档看了下,功能还蛮全的,而且比较贴心的是易宝提供了二种模式:测试模式和生产模式,测试模式下不必真实付费,就能得到跟真实生产模式一样的返回值,极大的方便了开发调试。
+关注继续查看

这二天应朋友之托,要为他的游戏增加一个在线充值功能,因为支付宝/快钱等比较大牌的公司申请商户都要营业执照或付费,于是他选择了易宝支付(www.yeepay.com),下载了SDk开发文档看了下,功能还蛮全的,而且比较贴心的是易宝提供了二种模式:测试模式和生产模式,测试模式下不必真实付费,就能得到跟真实生产模式一样的返回值,极大的方便了开发调试。

易宝的充值大概分为二类,一类是银行卡类的网银在线支付,另一类是非银行卡类的充值卡支付(比如神州行,Q币充值卡等)

接入过程中,发现一个明显的安全问题,充值卡支付时,居然允许用户在商户自己的网站上输入卡号和密码,而非象其它支付平台(比如快钱)先把用户引导到自己的官方平台(通常这类网址应该是https://开头)后再提示用户输入卡号密码等关键信息。

相信大家也看出问题来了,程序员完全可以在用户输入完卡号/密码并提点提交后,可以先做点别的事情,然后决定是不是继续提交到易宝的网关!(如果程序员有心套取用户充值卡的卡号和密码,简直易如反掌)

把这个问题反馈给他们技术,刚开始居然还没意识到,并不承认这是bug,实在无语。而且就算所有程序员都是良民,用户在没有看到官方支付平台的https://安全网址之前,有几个人敢输入卡号,密码等信息?

为了引起他们的重视,我又写了封EMail给客服,得到的回复却是:


尊敬的商家:
 
   您好,感谢您对易宝支付的支持,您的建议我们已经查看,这个技术的问题,如果您对我们的技术有建议的话那么建议您跟我们的技术的人员详谈下,再次感谢您对易宝支付的支持,谢谢。
 
 
     关于技术问题,您可以拨打技术支持热线....(电话号码隐去)
 
 
客服中心...号(客服号码隐去)很高兴为您服务


后来又在QQ上仔细跟他们技术讲解了一遍,这回总算意识到了,回复如下:

易宝技术 2009-5-15 13:51:50
恩,您这个问题提的很好,不过已经超出了我们的解决范围,我只是负责接口接入中的问题,我会跟相关人员反映此事,谢谢


终于明白易宝为什么做不过支付宝/快钱这些同类公司了。因为这个问题可能涉及用户资金安全,个人觉得比较重要,所以放在首页希望用易宝接入的朋友们留神.(注:银行卡类的充值方式是没有问题的,因为是引导到银行自己的支付页面上进行的,安全完全由银行自己负责)

 

最后:本文并无贬低易宝公司的意图,只是希望易宝公司尽快完善充值卡类支付渠道,以免给用户带来潜在风险。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10076 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10883 0
snk
Angular vs React vs Vue vs UISYS 的事件绑定方式对比(新手必看)
web三大框架和 airoot uisys 都给大家介绍了一番。在事件绑定上都很棒,除了angluar 有些小伙伴会疑问,angluar为啥那么复杂,其实 angluar 设计之初就为大型企业项目考虑了很多,而且他的组件是最成熟的,React 和 Vue 毕竟不是做成google 那么复杂,所以angluar开始学的时候,感觉有点“脱裤子放屁的感觉”,但是你学深入了,你就明白作者的困境了。
1082 0
做煎饼果子的N种方式——From Sequential to Reactive
>**需要注意的是** 本文不是真正的讨论如何做煎饼果子。 ## 引子 相信南方人都吃过煎饼果子——一种裹着生菜和火腿肠的鸡蛋煎饼。虽然好吃,其制作过程却也不比汉堡包简单,让我们一起来拆解下吧。 ![image.png](http://ata2-img.cn-hangzhou.img-pub.aliyun-inc.com/b3ff2ecc9570bdec6d0a717bc73c
1842 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13884 0
spring注解方式 idea报could not autowire,eclipse却没有问题
解决办法1: 从根本上解决: File-Project Structure 页面 Facets下删掉 Spring(直接右键Delete)   这个解答是对的。并不会降低安全性!!因为创建项目的时候,都是先创建空项目再创建web moduele(你想直接创建web project也可以),一般不会使用spring组件。
1094 0
Android官方开发文档Training系列课程中文版:通知用户之创建不同导航方式的Activity
原文地址:http://android.xsoftlab.net/training/notify-user/navigation.html 设计通知时要考虑到用户所预想的导航体验。
671 0
我的Android进阶之旅------>Android安全退出应用程序的几种方式
当应用不再使用时,通常需要关闭应用,可以使用以下几种方法关闭android应用: 第一种方法:首先获取当前进程的id,然后杀死该进程。  建议使用这种方式 android.
1026 0
+关注
杨俊明
菩提树下的杨过 http://yjmyzz.cnblogs.com/
1105
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载