乌云称淘宝论坛存在恶意攻击代码 - A5创业网
扫一扫，联系编辑获得审核机会
符合以下要求，获得报道机会
1. 新公司求报道
2. 好项目求报道
3. 服务商求报道
4. 投资融资爆料
客服热线：400-995-7855
当前位置：&&&
乌云称淘宝论坛存在恶意攻击代码
16:18&&来源：驱动之家MyDrivers&
　　一年一度的电商&&在11月11日零点正式开始。阿里&双十一&在第一小时的交易额达到67亿元，交易笔数超2500万笔。5:49分，交易额达到100亿，比去年提前了7小时49分。
　　根据今天下午1点03分公布的最新数据来看，阿里&双十一&交易额成功达到了191亿，从而超过了去年&双十一&全天的交易额，创造了全新的纪录。按照目前速度计算，今年阿里双十一的交易额预计将是去年的两倍。
　　就在这个时候，泼冷水的来了。著名漏洞报告平台乌云今天中午表示有人在淘宝官方论坛等埋下多个路由器&CSRF&攻击代码!而且其它论坛也很有可能中招。该漏洞是典型的&钓鱼欺诈信息&漏洞，危害等级为&高&。
　　目前乌云已经将该漏洞反馈给了淘宝，正在等待厂商处理中。
　　关于CSRF攻击代码：
　　CSRF(Cross-site request forgery跨站请求伪造，也被称为&one click attack&或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)，但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范，所以被认为比XSS更具危险性。
责任编辑：佩佩
延伸阅读：关键词：
创业好项目
微企点：海量精美模板 H5自助建站平台
扫描二维码关注A5创业网了解最新创业资讯服务
&徐州八方网络科技有限公司&版权所有&
举报投诉邮箱：
扫一扫关注最新创业资讯乌云发布漏洞警告：黑客潜入淘宝账户无需密码
用微信扫描二维码分享至好友和朋友圈
就在不少网友还对这条消息将信将疑时，14时20分，乌云发出第二条针对淘宝、支付宝的漏洞报告，“淘宝认证缺陷导致可登录任意淘宝、支付宝账户”。就此，金山反病毒工程师李铁军解释说，此次乌云爆出的两条漏洞主要都涉及用户账户隐私，从危害等级来说都属于较高级别。
图为乌云平台发布漏洞报告的微博截屏
原标题：无需密码就能潜入淘宝账户
本报记者 张倩怡
&无需密码可随意登录淘宝、支付宝账号。&&淘宝认证缺陷导致可任意登录淘宝、支付宝账号。&昨天14时左右，来自国内互联网安全问题发布平台乌云漏洞报告平台的这样两条报告，让许多人立马停下手头的事儿，查看自己的淘宝账号是否安好。
昨日，淘宝网证实这是近期一个新业务规则引起的短时漏洞，并已在第一时间修复。支付宝公关部相关负责人则表示，经过核查，漏洞只涉及淘宝网，和支付宝无关。然而，漏洞因何而起，仍是一片疑云。
淘宝有漏洞 与支付宝无关
&你们谁敢告诉我你们的支付宝或者淘宝账号？只要账号，我就能进入到你们的账户！&昨天14时10分，名为&互联网的那点事&的微博大号发布的这么一条信息在网络上炸开了锅。
这条看似有些噱头的消息却被迅速证实。&叫板&信息刚刚发布1分钟之后，&互联网的那点事&在微博上公布了网友&forwhere&的淘宝账户截图。图片上，&forwhere&在2月14日购买了6包猫砂和1把猫砂铲、1月6日使用支付宝购买联通充值卡等信息，一一在列。
这场风波源自20分钟前国内一家安全漏洞报告平台。
13时49分，乌云发出第一条漏洞报告。报告提交者&酸奶&表示，黑客通过搜索引擎，不用账号、密码，可直接获取用户的隐私，内容包括账户余额、交易记录、收货地址、姓名、手机号码等敏感信息。虽未太多披露漏洞细节，但提交者表示，漏洞源于&账户体系控制不严&。
就在不少网友还对这条消息将信将疑时，14时20分，乌云发出第二条针对淘宝、支付宝的漏洞报告，&淘宝认证缺陷导致可登录任意淘宝、支付宝账户&。报告提交者&沧浪浪拔出保健&表示，漏洞源于设计缺陷或逻辑错误，同时将这一危害等级设置为&高&。
&我余额宝里可放着10来万块钱呢，黑客该不会直接撬走吧？&在网上浏览到这条消息，尽管在第一时间里确定了自己的支付宝账户并无变化，在东单附近上班的李先生仍是有些不知所措。和他一样，不少网友都在担心，存有大额资金的余额宝账户是否变得不再安全。
17时，乌云爆出漏洞后的两个多小时后，淘宝网在官方微博上做出回应。
&今天下午，我们接到反馈称有用户可随意查询淘宝账户，经过我们的排查，确认这是近期一个新业务规则引起的短时漏洞。&淘宝网表示，已在第一时间完成修复，同时确认没有用户因此漏洞引发资金风险和损失。此外，淘宝将给予此次漏洞发现者5万元现金奖励，而今年还将拿出500万元奖励漏洞发现者。
支付宝公关部相关负责人则告诉记者，他们经过核查，&漏洞只涉及淘宝网，和支付宝无关&。
淘宝漏洞究竟是咋出现的？
由于乌云对于两个漏洞只有寥寥几句描述，而淘宝方面也只是简单回应&已修复漏洞&。直到这场风波平静，不少用户仍是摸不着头脑，&漏洞究竟是咋出现的？&
依照乌云发布平台的规则，出于安全考虑，漏洞发现者在最初发现漏洞时并不会公开漏洞细节。只有在提交厂商后，等待厂商解决漏洞后，发布者才会择期公开漏洞细节。昨天21时，记者再度登录乌云，这两条漏洞的发布页面上，披露状态都已被更新为&厂商已经确认，细节仅向厂商公开&。
就此，金山反病毒工程师李铁军解释说，此次乌云爆出的两条漏洞主要都涉及用户账户隐私，从危害等级来说都属于较高级别。
&其中一条漏洞讲的是，浏览器可以抓取到用户的交易信息。&李铁军解释说，依照正常流程，消费者在网上购物时，淘宝网对用户的交易信息都是严格保密的，浏览器无法抓取到。可能是由于淘宝某项业务在处理过程中出现漏洞，使得&黑客&能够通过操作浏览器抓取到购物记录。而&任意登录账号&漏洞，则可能源于淘宝服务器在处理一些关键信息时出现问题，使得&黑客&可以通过其他路径，绕过登录密码这道门槛。
&总体来看，漏洞更多对用户的账户隐私安全造成威胁。&黑客&利用这两个漏洞通过网页可以浏览到账户信息，但并没有操作账户的权利。&李铁军表示，尽管漏洞爆出两个多小时就已被淘宝官方修复，消费者仍得警惕漏洞&后遗症&。
近期有发生交易行为，同时买的东西还没有到货的用户要格外警惕。&一旦不法分子拿到交易记录、伪装成卖家，借此发生退换货服务，就可能发生诈骗案件。&李铁军提醒，用户如果接到类似的退换货提醒，一定通过淘宝平台核实对方身份。
&从一定程度上讲，安全漏洞是不可避免的。&通信世界网刘启诚表示，国内包括阿里巴巴、腾讯等互联网公司都已经建立了一套较为完善的风险防控体系，但如何减少漏洞、如何在第一时间封锁漏洞，仍是各家公司需要攻克的难题。不过，在漏洞发生后，尽快提醒用户风险所在、如何规避漏洞，这是互联网公司最该做的，一刻也不能耽误。
淘宝、支付宝近期
频频被爆出漏洞
2013年10月 阿里旗下社交软件&来往&被爆出漏洞，&黑客&通过来往可破解用户淘宝账号。
2013年12月 支付宝被爆出手势密码漏洞，连续随意输错五次支付宝手势密码，可进入手机的支付宝账户。
2014年1月 支付宝被爆出身份认证漏洞，用户身份证信息被盗用后，他人可利用身份信息注册实名支付宝账户。
凤凰新媒体 科技频道&&&&&&&&&
互动邮箱：
凤凰科技官方微博：
凤凰科技微信：
历史漏洞报道:
[责任编辑：李华阳]
用微信扫描二维码分享至好友和朋友圈
04/21 07:02
04/21 07:02
04/21 07:02
04/21 06:49
04/21 11:28
03/09 16:46
02/24 09:56
03/09 16:45
03/09 16:45
02/27 16:10
03/13 08:17
03/12 08:43
03/12 07:22
03/12 07:57
03/20 09:48
09/07 09:38
09/07 09:38
09/07 09:39
09/07 09:39
09/07 09:39
04/26 09:49
04/23 08:47
04/23 08:57
04/23 09:14
04/23 09:22
凤凰科技官方微信
播放数：42198
播放数：86526
播放数：132668
播放数：47332
48小时点击排行乌云网关于淘宝和支付宝漏洞的紧急预警大家看了吗，吓尿了！！！【余额宝吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：359,315贴子：
乌云网关于淘宝和支付宝漏洞的紧急预警大家看了吗，吓尿了！！！收藏
刚刚看到哎，不知啥情况，多客户有何影响啊，观望
存的钱不多，都是网购备用金
大家都很镇定啊
也不知道详细情况咋样，今天乌云爆了两个淘宝和支付宝的漏洞了。。。
登录百度帐号51CTO旗下网站
乌云曝淘宝用户账号信息泄露漏洞
今日，乌云漏洞公开了一个关于导致任意淘宝账号信息泄露的漏洞。该漏洞于10月13日由乌云白帽子谢祥应提出，通过该漏洞可以获取淘宝会员的姓名、手机、邮箱信息。
作者：杜美洁来源：51CTO.com| 13:28
今日，乌云漏洞公开了一个关于导致任意淘宝账号信息泄露的漏洞。该漏洞于10月13日由乌云白帽子谢祥应提出，通过这个漏洞可以获取淘宝会员的姓名、手机、邮箱信息。目前，厂商已经确认漏洞并进行恢复。
白帽子谢祥表示，在淘宝购物拍下一件商品后申请代付，写上需要查的淘宝账号。到确认时，查找以&2008&开头的源代码，找到：
&type=&hidden&&name=&peerPayerCardNo&&value=&4924&）&&
这步也可以在代付记录里审核元素查看，然后在火狐上模拟手机访问网页，跳转到手机版付款界面，选择其他方式支付。
截图来自乌云
根据下图所示，进行代码替换。
截图来自乌云
具体操作参见漏洞演示视频，如下：
通过以上视频中演示的这个方法可以查询会员的支付宝电话。如果这些被泄露的电话落到坏人手里就可以实施一系列的诈骗活动。为什么近期那么多人接到说是淘宝客服的电话呢？原因在于很多人已经掌握了这个漏洞，现在市面上很多采集软件能自动采集淘宝网全网没有匿名的用户。在此，小编提醒淘宝用户小心被钓鱼。
值得一提的是，淘宝存在的安全问题已不是第一次被曝光。今年2月份，乌云平台就曾曝出淘宝安全认证机制存在漏洞，黑客可以简单利用该漏洞登录他人淘宝/支付宝账号进行操作&&任何人无需密码，只需通过搜索引擎、便可直接获取其他用户的隐私(账户余额、交易记录、收货地址、姓名手机号码等敏感信息)。去年10月，乌云漏洞平台亦发布信息报告称，阿里推出的移动通信软件&来往&出现安全漏洞。漏洞描述中称&来往导致淘宝账号可被破解，波及余额宝支付宝。&而在阿里将淘宝、支付宝、来往等账号打通的背后，但凡有一端出现漏洞，其它账号也将受牵连。
【编辑推荐】
【责任编辑： TEL：（010）】
大家都在看猜你喜欢
专题热点头条头条热点
24H热文一周话题本月最赞
讲师：409人学习过
讲师：24852人学习过
讲师：675人学习过
精选博文论坛热帖下载排行
《游戏开发核心技术--剧本和角色创造》分“剧本”、“角色”和“游戏玩法”三部分，第一部分着重说明故事的历史、一般故事元素、传统故事设...
订阅51CTO邮刊请输入淘宝帐号：
保存输入信息
真刷●爆款交流基地
淘宝信用查询：
请在输入框内输入淘宝帐号，并点击查询
1、注册时间小于30天的，被认定为小号/新号，有可能是骗子，应当谨慎交易，免得赚几块钱换来一个中差评。
2、查小号可以查询买家中差评数量以及中差评信息，如果该用户的比例超过一定的比例，则有可能是中差评师，要十分注意了。
3、经常刷的小号，当信用点数超过20点(常购物的买家大号除外)，有可能这个号被淘宝列入黑名单，他再拍的东西有可能会被认为虚假交易，再刷会有降权风险。
最近查询：
免责声明:本站所有淘宝账号信息为淘宝网公开的用户信息，账号信息均为用户查询所产生，本站把查询结果记录入库。本站不承担任何相关法律责任！
如有侵犯您的版权，请联系我们删除，谢谢！ 网站问题&合作请联系