自行注册用户可绕过柜台受理开通支付宝与财付通的快捷支付

2012-8-28 10:23:37 来源:网络转载 浏览:257
最新支付漏洞公开:自行注册用户可绕过柜台受理开通支付宝与财付通的快捷支付。

简要描述:
自行注册用户可绕过柜台受理开通支付宝与财付通的快捷支付,小额支付时仅需要验证手机短信。手机短信与账户无关。如此,将对资金安全产生威胁。

详细说明:注册并登录中国邮政储蓄银行,点击申请开办->网上支付->签约加办,合同点同意。此时,假如没有在柜台开通网上支付业务,卡号是空的,只有一项“请选择”,但是,可以通过IE8或以上的 开发人员工具,对这个下拉选择列表的内容进行编辑,只在<option>中增加属性 value="卡号",其他按要求填写,这里请注意,手机可以任意填写,所以留下漏洞。填写完毕后点击提交,会要求输入支付密码,请正确输入,再提交,假如出现成功提交提示,即表示已成功操作。

漏洞证明:

不经过柜台受理即可开通支付宝与财付通的快捷支付

【图一】

不经过柜台受理即可开通支付宝与财付通的快捷支付

【图二】

修复方案:
你们懂的。

(0)
(0)