淘宝认证缺陷可登录任意淘宝账号及支付宝 http://www.wooyun.org/bugs/wooyun-2014-051178

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

This topic created in 4456 days ago, the information mentioned may be changed or developed.

Supplement 1 · Feb 17, 2014

UPDATE

淘宝账户认证爆安全漏洞（无需密码可登录用户淘宝、支付宝帐号）
http://www.wooyun.org/bugs/wooyun-2014-051171

淘宝某分站储存性跨站可窃取他人身份
http://www.wooyun.org/bugs/wooyun-2014-051167

12 replies • 1970-01-01 08:00:00 +08:00

qianlifeng

Feb 17, 2014

吓尿了

thinkxen

Feb 17, 2014 via Android

花擦

scusjs

Feb 17, 2014

吓尿……14年第一大洞啊

lenville

Feb 17, 2014

@qianlifeng
@thinkxen
@scusjs

只能等官方回应了

ccbikai

PRO

Feb 17, 2014

真的吓尿了

tokki

Feb 17, 2014

社工大神期待这个漏洞公开啊

vking

Feb 17, 2014 via Android

危害等级：中

heroicYang

Feb 17, 2014

官方已认定，并且奖励了 5W 给报告者（@互联网的那点事）~ http://weibo.com/1682454721/Ax9gnwzJQ

lijinma

Feb 17, 2014

@heroicYang 真够抠门的。。。白帽子真难；

lenville

Feb 17, 2014

@lijinma 感觉 5W 还好哈，可能是楼主没见过什么世面（=。=）

Zkiller

Feb 18, 2014

昨天用淘宝的安卓客户端充话费，竟然没有输入密码和手机验证码，当时还就纳闷了。。

lenville

Feb 18, 2014

@Zkiller 直接就支付了么？=。=