cosbeta一直在那里嚷嚷的支付宝逻辑漏洞,其实是夸大了说法,严格的说这不叫漏洞,这个叫空子。利用这个空子,cosbeta为homezz配置了支付宝自动开通程序,然而这个空子才用一周,就不灵了,因为支付宝可以轻易的补上这个空子,既然无法钻空子了,cosbeta就把它写出来。 由于空子可以很快被堵上,再加上淘宝 API可以很容易的合法实现同样的目的,所以就更对淘宝没有任何影响了。
思路是这样的:
- 让买家给指定的支付宝直接打款(前提是让买家信任你),然后记住相应的交易号码;
- 支付宝这个时候会将交易的信息发送到卖家的支付宝邮箱中,邮箱的内容将会有“交易成功”字样、支付宝交易号、和交易的金额,并且这个邮件几乎在交易之后马上就发送到卖家的邮箱中了;
- 指引买家回到homezz的界面,让买家输入交易号和选择对应的套餐,然后点击提交;
- 提交的时候,用php程序pop3连接支付宝对应的邮箱收信,当检查到有这样的邮件存在则开通:支付宝交易号码存在、根据套餐获取的交易金额正确、交易状态是已经成功 ;
- 当然为了防止买家伪造一封邮件,我做了这几步安全设置:1.将支付宝对应的邮箱设置成白名单,只接受白名单的邮件;2.在php读取信件的时候检查邮件header,确保发信者来自alipay;
为啥cosbeta决定写出这个空子,因为这个空子可以轻易的被补上,如延迟发邮件(事实上,支付宝就这样对付我那个帐号的)。
另外还有一个原因,就是用户其实可以通过淘宝的API名正言顺替代上面的方法,及时公布了,对支付宝也无任何影响。
感谢 Chris_Ys 介绍淘宝API给我,汗,早些时候都想研究淘宝API的,结果过了年多,还让别人介绍我才想起这个东西来。
标签:互联网事
支付宝怎么发现有人在用这个空子的呢…alipay确实牛叉啊
程序统计一个用户频繁的收到及时到帐,而且来自不同的用户,肯定就可疑了啊!或者支付宝本身就会随机延迟发送邮件。