支付宝×B 站高危漏洞，弱密码盗刷支付宝

向晚原来是快 30 岁的大妈了啊

这个应该不算漏洞吧？

只是利用了支付账号支付(免登录)，直接输入(弱口令)支付密码完成支付。

这是支付宝 SDK 的特性,和使用的发起端无关.只是说支付宝的风险模型允许小额情况下,三次以内密码尝试成功后直接支付

@tyzandhr 26 直接就快 30 ，30 直接成大妈
难怪国内程序员会有 35 岁危机，年龄歧视由公务员招聘带起，普通民众自己内化得挺乐呵

支付宝所有正规商户 Web 端支付的时候也是默认使用账号 + 支付密码，只有被风控（大额，非常用环境）的情况下才会要求其他验证方式（反正钱最后还是在支付宝自己的系统里，要追回很容易吧）。（另：银行卡 cvv 只有三位，如果没有 3ds 理论风险可能更高？）

看起来除了具体思路 3. 之外都算不上漏洞，整个流程就相当于偷到了银行卡（获取到支付宝账号）、猜出了银行卡密码（支付宝账号支付密码），并通过 ATM 机成功取款

楼上都没仔细看内容吧？这个如果描述属实，相当于拿支付密码可以直接登录支付宝账号了，这还不是漏洞？

@wdv2ly 本来就可以

@wdv2ly 参考 /t/697094 https://www.zhihu.com/question/20289013

支付宝的登入密码早就没啥用了,大部分地方用的都是 6 位支付密码

恕我没看懂，支付宝不是十几年来一直都是这么运行的么，这也叫高危漏洞。可能就我手机没有支付宝这个 app 吧？我点瑞幸、点饿了么选支付宝从来都是跳 Safari 然后就是直接这样登录支付的，而且登录后会记录 cookie 一段时间内直接就是支付页面，只要点 “支付” 输入支付密码就能付钱。哪那么多麻烦事情，还要 b 站版本低于多少 balabala ，什么抓包之类的。

@MengiNo 是的，支付宝一直都是这样，压根不用这么麻烦

上次遇到这种问题还是在 16 年、支付宝 5k 余额内的双密鱼料 一百块钱一条、你问我 它们黑灰产怎么利用？