这是一个创建于 33 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
zizon 3 月 13 日
要这么说,小程序也算漏洞了.
|
 |
2
pulutom40 3 月 13 日 via iPhone
这种问题会越来越多,很多人都是代码跑起来了就行了,什么安不安全的,管我屁事。特别是有了 ai 后,一通瞎搞代码就跑起来了,逻辑对不对都无所谓,漏洞算啥
|
 |
3
Puteulanus 3 月 13 日
看了下,大部分基本上等同于 url scheme 吧,跳转敏感功能页面只是能调支付宝跳过去,跟暴露敏感信息是两回事,攻击者还能站你旁边看着你屏幕吗
也就支付宝能作为一个浏览器,获取定位信息这个没做 App 内的权限确认,这个值得商榷 |
 |
4
luoyide2010 3 月 13 日
@Puteulanus 绕过了域名白名单限制,能调用只有白名单域名才能调用的部分功能,先不说其他,制作个钓鱼页面,能钓不少信息
|
|
5
Puteulanus 3 月 13 日
@luoyide2010 钓鱼页面看怎么看吧,我是觉得网页钓鱼不算支付宝的漏洞,但要说在支付宝里开一个页面仿支付宝的登陆,那也确实容易迷惑人
这个的核心应该在支付宝该不该能当浏览器这个事上,就像用正经浏览器开一个钓鱼页面,肯定不会有人觉得是浏览器的漏洞 |
 |
6
liaohongxing 3 月 13 日
用支付宝把这个 demo 看了一下,demo 已经失效了,估计被热更新了吧。
|
|
7
liaohongxing 3 月 13 日
泄漏 定位信息 的 demo 我测试已经有弹窗确认了,但是设备信息还是有, setTitle 还是生效的,setTitle 是双刃剑吧,如果禁止不知道对 h5 支付场景有无影响。
|
|
8
liaohongxing 3 月 13 日
收回上面的话,演示 demo 还在生效,获取定位信息是有弹窗确认的,没有确认是获取不了的,可以是第一次定位才有弹窗,但是似乎这个演示 demo 都没什么用,就是个快捷打开方式。当然可能没有精心伪造页面的原因,钓鱼哪里都有,重点是漏洞能不能全自动支付偷钱,能自动偷钱问题就有点大。
|
 |
9
chenzhe OP PRO @zizon 小程序想获取很多信息,都需要特别写申请获取权限才能调用,这不是一个方向的。
@Puteulanus 能绕过白名单限制就已经是漏洞了,正常的开发者需要申请 appid ,填写申请理由才能获取好些信息的,但是现在能绕过了,就是问题呀。 @liaohongxing 能预填收款方及金额,对于一些精心准备的钓鱼页面来说,已经是极大的便利了。 |
Select Language