|
简要描述: 如果你手机丢了,你觉得会损失了什么?
可能你觉得手机本身的价值没什么,通讯录才是重要的
在偶年幼无知的时候……觉得手机丢了,QQ也会丢了
但是,还是在偶年幼无知的时候,发现……手机丢了,也许会欲哭无泪!
想像一下,如果你现在手机丢了,你会损失什么?
欢迎基友们,各种诡异答案 详细说明:现在网上各种账号一般都有跟手机绑定
而且手机的权限很高很高……高不胜寒
看到这里,也许你们已经知道了是怎么回事了
也许你们评估过这个问题
但是我觉得……非常有必要对问题进行整改!
因为每天都会有人丢手机,就像每天的出生率和死亡率一样,一直不为0
而手机丢了之后,
有多少人会马上把手机号码挂失,
又有多少人会马上对自己的网络账号与手机相关的账号进行处理?
好吧,就算你有这个意识,但当你找到电脑进行各种处理时
你会比有备而来的小偷速度快,准,狠???
select money from your 财付通 where 手机丢了 = ture and 手机上有QQ号码 = ture and qq,财付通与手机绑定 = ture
想像一下,如果你现在手机丢了,你会损失什么?
(1)
经过测试,QQ绑定手机后,只要发一条短信就能直接修改密码,没有其他任何二次认证。
这比手机明文存储密码还恐怖!
因为如果只是手机明文存储密码而已,那么手机丢了,把密码修改了,可能没事了
但是QQ绑定了手机,手机丢了,你的QQ除了可能被别人登录之外,
你日久生情的QQ还可能不是属于你的了
因为你的QQ绑定的手机号码可能会被更换了
(2)
如果你的财付通如果也用手机绑定了……反正腾讯会建议绑定
那么,通过忘记密码的修改密码步骤,有手机验证码,就能修改财付通密码(默认和QQ密码一样)和支付密码
此时如果你的财付通的有余额的话,那么它也不属于你的了
(3)
如果你的财付通上还有绑定着各种银行卡的快捷支付,腾讯各种优惠活动鼓励用户绑定快捷支付,绑定的卡越多,优惠越多(一般是送现金券),然后也会死得越壮烈……如果手机丢了!
因为登录密码有了,支付密码有了,快捷支付的短信验证也妥妥的!
(PS:支付宝也有类似问题,如果支付宝账号采用手机号码的话,财付通也可以用手机注册……其实好多平台都存在这个问题)
漏洞证明:(1)忘记密码--忘记密保问题--通过手机找回密码 ​
(2)一条短信搞定QQ密码……足足花了偶十分钱! ​
(3)财付通登录密码和支付密码也妥妥的
​
开始支付吧,骚年们!
手机在手,天下我有!
在这个屌丝逆袭的时代,果断拿起旁边高富帅的手机
进入支付热线吧! 修复方案:认证时,不应该把手机认证作为一个万能的key
建议采用多重认证,方法繁多:
如手机认证的同时也需要输入密保问题,或者其他申诉的条件
也可采用双手机号码验证,主号码有权发出修改密码指令,但需要副号码(如父母手机)确认,但副号码只有确认权限,无发出修改密码指令的权限。
降低安全风险,往往要以牺牲方便快捷的操作为代价!
也许你们评估过这个问题了
但是我觉得……非常有必要对问题进行整改!
因为如果手机落入恶意使用者手里,
漏洞利用难度低,危害高。(相比于通过利用通讯录里面的联系人来进行诈骗)
好了!到了吃早餐的时间了……(非漏洞修复必须步骤,是偶要去吃早餐罢了)
码了这么多字,没功劳也有苦劳吧,没苦劳也有“咸酸劳”了吧!
| 
窥视卡
雷达卡
发表于 2013-3-23 09:40:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2013-3-24 03:15:20
发表于 2013-3-25 15:51:15