V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
danbai
V2EX  ›  分享发现

某支付 0day 不知真假

  •  
  •   danbai · 278 天前 via Android · 3091 次点击
    这是一个创建于 278 天前的主题,其中的信息可能已经有所发展或是发生改变。
    5 条回复    2024-03-16 16:35:54 +08:00
    x86
        1
    x86  
       278 天前
    是真的,不过回调都没验证的吗
    NESeeker
        2
    NESeeker  
       278 天前 via Android
    我说咋支付不了了
    xxbing
        3
    xxbing  
       278 天前
    看了全文,我觉得如果存在大范围的伪造支付订单,触发订单成功回调. 并没有什么 SQL 注入漏洞,因为每家每户的对调地址都不一样,而且有些人的支付密钥是硬编码在程序里,SQL 注个毛啊..
    最大可能性是支付商数据库泄露了. 所有的回调地址和密钥都被人拖了.
    bubble21
        4
    bubble21  
       278 天前
    见文末 [初步估计今晚“0 元购”金额高达数百万,此频道机器人害人不浅,据传闻说是源支付最早作者,然后发生某些不愉快,利用以前留下的后门做成 Tg 机器人(此信息为传言,但目前可靠程度应该是最高了)]
    unclemcz
        5
    unclemcz  
       278 天前 via Android
    按理说商家端应该先判断 ip 白名单,再验签。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1707 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 16:41 · PVG 00:41 · LAX 08:41 · JFK 11:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.