首页 | 友益网摘 | E书分类 | 最近更新 | 推荐E书 | 热门E书 | 用户登陆 | 友益论坛
设为主页
收藏本站
联系我们
| 经济 | 社会 | 文化 | 技术 | 生活娱乐 | 我的爱车 | 其它 | 骗术大全 | 房产

本站E书搜索:                               发布E书 | 郑重声明

当前位置:E书天空-电子书下载,电子书发布,资讯中心文章首页技术网络安全→支付宝控件漏洞---到底是谁在撒谎?(一)
支付宝控件漏洞---到底是谁在撒谎?(一)
作者:  来源于:  发布时间:2007-2-10 8:45:12
支付宝控件漏洞---到底是谁在撒谎?[组图]
作者:不详   来源:cnbeta   加入时间:2007-02-09  访问次数:4次
 

    这篇文章非常强悍,将阿里巴巴支付宝控件漏洞事件全回放,一起来看看:

    文档维护:tombkeeper
    文档创建:2007年02月09日
    最后更改:2007年02月09日

    cocoruder去年底向阿里巴巴报了一个淘宝旺旺ActiveX控件溢出的漏洞:http://www.xfocus.net/articles/200701/901.html 结果阿里巴巴偷偷把漏洞补了,但是不肯发公告。

    有了这个教训,前两天cocoruder发现支付宝登陆控件代码执行漏洞的时候就直接公布了:http://www.xfocus.net/articles/200702/906.html

    阿里巴巴的态度还是一样:偷偷把漏洞补上了。有媒体问阿里巴巴是不是有这回事,阿里巴巴完全否定:http://tech.sina.com.cn/i/2007-02-08/06481375187.shtml
 
    而且派人时刻盯着支付宝社区,凡出现相关主题的不利帖子立即删除,所以现在我们在支付宝社区能看到的都是“形势一片大好”的帖子:http://club.alipay.com/show_thread-20-1--5930514-.htm

    如果事情到此为止也就算了,安全研究界要的也不过就是对自己工作的认可,你想藏着掖着,我们也可以理解。彼此间也没什么深仇大恨,你不承认也就不承认吧。除了腾讯,国内的公司我还没见到几家愿意诚实地发布自己产品安全公告的,我们早就习惯了。

    但是事情没有结束。

    昨天wlj在donew上发了一篇关于此事的文章,原来的链接是这个:http://home.donews.com/donews/article/1/110127.html 但是今天早晨我发现这篇文章已经不见了。

    而且还针对这篇文章请“天威诚信数字认证中心”搞了一个“专家检测”:http://club.alipay.com/show_thread-79---5930928-.htm

    最无耻的是,可能因为wlj在文章里引用了我说的“就在2月8号,支付宝控件升级了。如果没问题,升级什么呢。”,阿里巴巴来了这么一句:“为了用户更安全,我们加固了支付宝控件。如果您看到升级提示,请按要求操作。”这种行为不但是对全体支付宝用户的愚弄,也是对我们这些信息安全研究者的侮辱。

    阿里巴巴在这里表现最突出的不是欺骗,也不是邪恶,而是愚蠢。认为死不认账就叫作危机公关了,殊不知裤子是遮不住屎的。下面就让我们看看阿里巴巴屁股帘后面藏的东西。

    有问题的文件是pta.dll,这个东西属于“ActiveX控件”,只要装了这个东西,你访问的任何网页都可以通过IE浏览器来调用这个控件。也就是说,如果这个控件有问题,你在访问任何网站的时候,都可能被该网站上的恶意网页攻击,在机器上安装木马。这种漏洞并不是什么稀罕东西,最近几年从Flash到微软的Media Player等都出过很多类似的。而这种漏洞也是目前国内木马最为流行的传播方式。

    明白了漏洞是怎么回事,再让我们来看看阿里巴巴的登陆控件到底有没有这个漏洞。是不是像“专家检测”的那样:“并未发现上述问题及其它隐患”。

    先让我们来访问淘宝的登陆页面:http://member1.taobao.com/member/login.jhtml

    如果你以前没有安装过支付宝的控件,这时候就会看到一个安装的提示。在网页上点击右键,察看源代码,在其中搜索“aliedit”,你会看到类似这样的两行:
https://img.alipay.com/download/1009/aliedit.cab
http://img.alipay.com/download/1009/aliedit.exe
    这两个都是支付宝的控件,前者是可以通过IE提示你安装的,后者是你可以手工下载安装的。控件的当前版本是1.0.0.9。

    阿里巴巴在技术方面的愚蠢之处就是在事发后,仍然把各个版本的登陆控件保留在服务器上。所以我们可以通过访问下面这些链接取得所有版本的控件:
http://img.alipay.com/download/1006/aliedit.cab
http://img.alipay.com/download/1007/aliedit.cab
http://img.alipay.com/download/1008/aliedit.cab
http://img.alipay.com/download/1009/aliedit.cab
http://img.alipay.com/download/1006/aliedit.exe
http://img.alipay.com/download/1007/aliedit.exe
http://img.alipay.com/download/1008/aliedit.exe
http://img.alipay.com/download/1009/aliedit.exe

    当然,本文发布后,阿里巴巴十有八九会把1.0.0.9之前的版本删除。不过我相信,在他们删除之前,已经有足够多的人看到了这篇文章,下载了这些文件。并且我已经把存在漏洞的1.0.0.7版文件传到了这里:

http://tombkeeper.googlepages.com/1.0.0.7_aliedit.cab
http://tombkeeper.googlepages.com/1.0.0.7_aliedit.exe

    (相信阿里巴巴的活动能力不至于能从googlepages上删除文件,所以本文涉及的所有文件一律放在googlepages上。)
[] [返回上一页] [告诉好友] [发表评论] [打 印] [ 字体: ]
上篇文章:支付宝控件漏洞---到底是谁在撒谎? 
下篇文章:支付宝闪电升级 修补存在漏洞程序
∷相关文章∷
· 支付宝控件漏洞---到底是谁在撒谎?
∷相关软件∷
{$KeySoft}
  关于本站 - 下载声明 - E书发布 - 下载帮助 - 广告联系 - 商业合作 - 申请链接 - 用户注册

E书天空版权所有 Copyright © 2005-2020 ebooksky.com. All Rights Reserved . 闽ICP备08100302号

地址:福建省福州市福飞路104号 邮编:350003 联系人:吴生友

QQ:14476087 电子书发烧友Q群:17648598

E-mail:wsy515398@vip.sina.com(邮件请用汉字注明主题 如果没收到自动回复,邮件可能没发送成功!)