支付宝是淘宝账务管理中心,所有的钱都放在这儿。今天发现,有个业务上的流程存在逻辑缺陷。
只要掌握了一个用户的邮箱,就可以做很多事情了,包括修改"安全问题",修改密码,修改"绑定的手机号"。从"手机服务"中,我们可以看到,只要能改了手机号,实际上可以做许多事情了。
下面看看手机服务提供了哪些功能?
手机找回密码 利用手机来轻松找回遗忘的密码 已开通
手机开启/关闭余额支付 您可以用手机开启或关闭账户余额支付功能 已开通
手机管理数字证书 如果您的数字证书丢失了,您可以用手机注销数字证书 已开通
手机设置安全问题 如果您忘记了安全问题,您可以通过手机重新设置 已开通 关闭
手机支付 开启手机支付功能,您将可以通过短信或语音方式付款。 已开通 关闭
手机动态口令 有了密码和手机动态口令的双重保护,您的账户安全就得到了全面的提升!
手机号码登录 如果您用手机号码做为支付宝账户名,您可以在此修改
从上面可以看到,只要得到了手机权限,这个支付宝账号基本就在控制之中了。而得到手机号,只要得到信箱权限就可以了。信箱权限怎么得就不多说了,相信很多人都掌握了若干种方法,很容易就可以控制信箱。本来这个手机服务,是为了避免信箱的安全问题,所以才提供了比信箱功能更多的权限,比如修改安全问题,数字证书,动态口令等,这些都是信箱无法提供的。现在可倒好,通过手机服务,放开大门了。
如何通过信箱修改手机号?这是问题的关键,因为支付宝还没有修改完善相关系统,在此不多说了,只想告诉大家,非常非常简单,只是他们在设计上的一个缺陷,算不上系统漏洞。所以,一定不要逻辑混乱,清晰的业务流是非常重要的。
没有评论:
发表评论