刷抖音的时候看到了一个网站: https://innora.ai/zfb/ , 标题是“支付宝 DeepLink 攻击面分析”
 | 1 moult 3 月 14 日  1 里面提到的很多确实是正常功能,而且都是一直存在的,有点哗众取宠的感觉。当然部分问题确实是权限没控制好。 像跳转到预填账号信息的转账页面、跳转到所谓的敏感页面,这些都好几年了。 最离谱的是 AlipayJSBridge.call("tradePay" 发起支付,这个特性开放平台文档里面都有给明。 https://opendocs.alipay.com/open/02502j |
 | 2 xixiv5 3 月 14 日 吃饱 撑得 |
 | 3 stinkytofux 3 月 14 日 太想出名了. |
 | 4 laikicka 3 月 14 日 2 这些功能又非常常用. 又是傻逼自媒体为了那点钱恶心一群开发者 |
 | 5 sddyzm PRO 碰瓷支付宝? |
 | 6 Valid 3 月 14 日 支付宝要真做了 deeplink 白名单就真打不过微信了 |
 | 9 whileFalse 3 月 14 日 没毛病,至少不该让随便什么野鸡网页拿到我的定位,以及从某个 APP 拉起支付宝页面时,用户应该能理解处于特定 APP 的引导之下。 |
 | 10 Esec 3 月 14 日 via Android 检测到本机有背景音视频播放,周围环境音端 ai 识别高危场景,悬浮窗覆盖,第三只眼或者拍摄设备自动黑屏,接口改成强制金融实名公安备案才能调用? [x |
 | 11 type 3 月 14 日 这是砸灰产的饭碗啊 |
 | 13 jacketma 3 月 14 日 支付宝的 DeepLink 陌生网址上面是有浮窗提示的,网址虽然不是白名单制度,国内也需要有备案的吧,海外支付宝没试过不知道 |
 | 14 easylee 3 月 14 日 这要是封了,外一单 1700 的零成本定位又少了条路子~ |
 | 15 hanssx 3 月 14 日 漏洞披露的点,第 1 个差点意思,第 2 个有点意思。 |
 | 16 realpg PRO 1 为了出名而已... 作为阿里资深客户 只能说, 这团队根本不懂阿里 你不去导出宣扬 你只要告诉阿里了 他们也会尽快去修 目前来看 这个漏洞的级别不属于 4h 内修好, 也不属于 1d 内修好, 但是具体几 d 修好取决于阿里那边内部评估 阿里就是这样的, 类似 yes minister, 他们就是嘴上不能认这是他们的问题, 互相包庇, 然后脑子里都知道这是自己的问题, 如果应该赔偿, 该赔偿赔偿, 赔多少在自己权限内尽可能给你争取更多的, 但是不能触发越级或者到上级的控制台显示出来, 引发进一步调查 但是赔偿的说法里不能说是赔偿 也不能说是阿里的问题或者阿里某些人的问题, 都是一些补偿措施, 或者歉意措施, 只要权限内他们不差钱... |
 | 17 ldapadmin 3 月 14 日 2 作者本身自己就不干净 要不咋一直在东南亚漂泊。你问问他为啥不敢回国。 |
 | 18 Gilfoyle26 3 月 14 日 水军这么多吗  |
 | 19 Seanfuck 3 月 14 日 #12 这个倒真是,我大额支付以及线上微信 app 之外的支付都不会用微信,被骗了都没地方申诉。 |
 | 20 felixsama969 3 月 14 日 除了定位和获取设备信息有问题,其他都是正常功能 |
 | 21 MIUIOS 3 月 14 日 @ldapadmin 哥们你说到重点了,其实这块 deeplink 灰产一直都在利用,而且这个本身就是相对开放的功能,知道怎么利用这个功能的大概率和灰产脱不了干系 |
 | 22 esile 3 月 15 日 花里胡哨的的 已经不给跳了吧 还是我开的锁定模式限制了 |
 | 23 aqc113 3 月 15 日 1 类似的事已经发生过一次了 https://v2ex.com/t/937597 |
 | 24 kkk9 3 月 16 日 刚开始时候这种灰产叫做“页面盘”或者“镜子”…… 模拟交易猫、闲鱼、转转、支付宝等等,通过触发各类 deeplink 达到免密转账、确认收货、确认退款等等 |
Select Language