这是一个创建于 1092 天前的主题,其中的信息可能已经有所发展或是发生改变。
不懂就问, 12306 bypass 软件的自动支付功能是什么原理
我的疑问是为什么只需要支付宝账号和支付密码, 而不需要支付宝登录密码, 就可以自动支付
一般地, 支付密码是六位纯数字, 不担心数字密码碰撞吗, 假如用别人的支付宝购票付款成功多可怕
 | 1 xingL 2023-01-06 10:26:12 +08:00 支付宝网页支付不需要登录密码 |
 | 2 NeroKamin 2023-01-06 10:31:43 +08:00  1 我理解安全方面的防护和限制应该是支付宝侧在做吧,bypass 只是用支付宝账户和支付密码模拟支付的过程 |
 | 3 Xusually 2023-01-06 10:33:29 +08:00 1 OP 没用过支付宝网页支付? 试试看就知道了本身就只需要支付密码。 |
 | 4 hkyshefavor 2023-01-06 10:39:41 +08:00 用支付宝捐赠 1 分钱,你就知道手机网页支付只要支付密码 |
 | 5 justfindu 2023-01-06 10:40:34 +08:00 1 你连这个都提供? 是真的信任这软件啊 |
 | 6 aisibi OP 多谢楼上几位大佬科普. 目前来看确实是支付宝官方的网页接口, 仅需支付宝账号和支付密码即可支付. 然后 bypass 模拟提交数据到支付宝网页版. 同时也找到相似提问, 答案也同上面的说法类似. https://v2ex.com/t/598642#r_7864574 不过总感觉这个接口是自己意料之外的. 主要感觉六位数字密码真的好容易被密码碰撞, 感觉这个支付的口子开得好大 |
 | 7 november 2023-01-06 10:57:19 +08:00 支付密码是可以自己设的吧,不局限于 6 位纯数字。我的密码就超过 10 位了。 |
 | 8 hhjswf 2023-01-06 10:59:49 +08:00 via Android 卧槽这也敢给。。 |
 | 9 cslive 2023-01-06 11:06:55 +08:00 网页上的支付密码不是你手机上设置的 6 位数字,这个可以设置的很复杂,用于网页淘宝付款的时候要求输入支付密码 |
 | 10 fkmc 2023-01-06 11:10:53 +08:00 支付宝 还算安全了 有些信用卡支付 只要卡号 cvv |
 | 11 agagega 2023-01-06 11:13:44 +08:00 支付宝网页版直接进支付界面的时候,不用输登录密码,前后输两次支付密码就行,这个 feature 起码十年了。那会支付密码还没有限制只能为 6 位数字,各种符号都可以,后来突发奇想才改得跟银行卡密码一样。 |
 | 12 also24 2023-01-06 11:25:31 +08:00 via Android |
 | 13 lixiang2017 2023-01-06 12:09:24 +08:00 via Android 问一个别的。现在 12306 官方提供候补车票的功能,bypass 还有各种刷票网站基本没用了吧? |
 | 14 chotow 2023-01-06 12:32:59 +08:00 via iPhone 1 @lixiang2017 #13 软件抢候补比手动快,然后就是挂机捡漏 |
 | 15 Ocean810975 2023-01-06 12:52:56 +08:00 via Android @lixiang2017 放票的一瞬间软件买票还是比手动快很多的,而且候补越早得票概率越大,不过感觉这两年除了春运倒是没啥需要抢票的时候了,基本上开车前都能有空余的票。 |
 | 16 lovelylain 2023-01-06 13:23:23 +08:00 via Android op 可以卸载支付宝 APP ,然后其他 app 例如抖音下单选支付宝支付,就清楚了 |
 | 17 ONEBOYS 2023-01-06 15:50:39 +08:00 @hhjswf 楼主说的不是敢不敢给密码的问题,而是说别有用心的人如果收集了几万几十万个支付宝账号,然后每个通过密码碰撞进行支付的风险度问题。如果每个支付宝账号密码( 6 位数字)一天可以试错 5 次,那每天刷 100 万个支付宝账号,概率上就有 5 个是能成功的。如果支付宝没有其他防御机制,这种风险还是相当大的。 |
 | 18 wangxiaoaer 2023-01-06 16:02:04 +08:00 @ONEBOYS #17 阿里是吃素的?还每天 100 万个,章口就来啊 |
 | 19 rrubick 2023-01-06 16:30:48 +08:00 @lixiang2017 #13 还是有用的,最起码可以同时候补多个(前两年关注了) |
 | 20 eason1874 2023-01-06 16:33:12 +08:00 放心吧,碰撞不了,跟银行卡一样,连续几次错误就触发风控了 |
 | 21 chenmobuys 2023-01-06 16:41:22 +08:00 你提供支付密码,也是蛮勇的 |
 | 22 ShundL 2023-01-06 16:46:27 +08:00 @ONEBOYS 会不会有一种可能(我说假如,并不知道是否有这种验证,或者 alipay 更智能),同 IP 或设备连续刷几次账号支付错误后,触发风控? |
 | 24 yukiww233 2023-01-06 16:56:33 +08:00 海外信用卡的在线支付也是校验一个 3 位数字的 cvc 和一个年+月就可以了,可行的碰撞组合比 6 位数字还少的多 实际上多错几次早就锁卡了 |
| 25 ONEBOYS 2023-01-06 17:18:44 +08:00 2 @wangxiaoaer 支付宝正常交易一天就有上亿笔,非法请求不见得少多少量。支付宝的攻防那确实是神仙打架,能亮出来网页版账密直付就说明风险几乎没有,但这样倒推的讨论有意义吗? |
 | 26 yaphets666 2023-01-06 17:22:40 +08:00 @lixiang2017 有用,候补也是要抢的,候补应该是按顺序给票的。另一种情况就是,有时候会放一些车票出来(越过候补),你 24 小时挂着就能抢到。 |
| 27 ONEBOYS 2023-01-06 17:26:53 +08:00 1 @ShundL 听楼上分析,支付请求是 bypass 传递过去的,不知道走不走服务端,如果走,那被锁的应该是 bypass 服务器。但我觉得是不走的,所以楼主输密码其实也没风险 |
 | &nbs; 28 hkezh 2023-01-06 22:47:37 +08:00 via iPhone 难道有票不是先给候补吗 |
 | 29 zhangkc 2023-01-07 04:57:10 +08:00 via iPhone 你 12306 可是实名制,换个不同名的支付宝试试? |
 | 31 wanqiuyao 2023-01-08 08:59:05 +08:00 via iPhone 我需要软件楼主给个链接 |
 | 32 ericlgq2 2023-01-13 08:26:44 +08:00 via Android 海外信用卡按理说安全性比支付宝差很多,但是大家照用,反正出了问题是银行赔。。。 |
Select Language