刷抖音的时候看到了一个网站: https://innora.ai/zfb/ , 标题是“支付宝 DeepLink 攻击面分析”
20 条回复 • 2026-03-14 21:16:52 +08:00
 |
1
moult 22 小时 29 分钟前  1
里面提到的很多确实是正常功能,而且都是一直存在的,有点哗众取宠的感觉。当然部分问题确实是权限没控制好。
像跳转到预填账号信息的转账页面、跳转到所谓的敏感页面,这些都好几年了。 最离谱的是 AlipayJSBridge.call("tradePay" 发起支付,这个特性开放平台文档里面都有给明。 https://opendocs.alipay.com/open/02502j |
 |
2
xixiv5 22 小时 3 分钟前
吃饱 撑得
|
 |
3
stinkytofux 22 小时 2 分钟前
太想出名了.
|
 |
4
laikicka 21 小时 43 分钟前 2
这些功能又非常常用. 又是傻逼自媒体为了那点钱恶心一群开发者
|
 |
5
sddyzm 21 小时 42 分钟前
碰瓷支付宝?
|
 |
6
Valid 16 小时 15 分钟前
支付宝要真做了 deeplink 白名单就真打不过微信了
|
 |
9
whileFalse 13 小时 38 分钟前
没毛病,至少不该让随便什么野鸡网页拿到我的定位,以及从某个 APP 拉起支付宝页面时,用户应该能理解处于特定 APP 的引导之下。
|
 |
10
Esec 13 小时 4 分钟前 via Android
检测到本机有背景音视频播放,周围环境音端側 ai 识别高危场景,悬浮窗覆盖,第三只眼或者拍摄设备自动黑屏,接口改成强制金融实名公安备案才能调用? [x
|
 |
11
type 13 小时 3 分钟前
这是砸灰产的饭碗啊
|
 |
13
jacketma 11 小时 47 分钟前
支付宝的 DeepLink 陌生网址上面是有浮窗提示的,网址虽然不是白名单制度,国内也需要有备案的吧,海外支付宝没试过不知道
|
 |
14
easylee 10 小时 42 分钟前
这要是封了,对外一单 1700 的零成本定位又少了条路子~
|
 |
15
hanssx 10 小时 18 分钟前
漏洞披露的点,第 1 个差点意思,第 2 个有点意思。
|
 |
16
realpg PRO 1
为了出名而已...
作为阿里资深客户 只能说, 这团队根本不懂阿里 你不去导出宣扬 你只要告诉阿里了 他们也会尽快去修 目前来看 这个漏洞的级别不属于 4h 内修好, 也不属于 1d 内修好, 但是具体几 d 修好取决于阿里那边内部评估 阿里就是这样的, 类似 yes minister, 他们就是嘴上不能认这是他们的问题, 互相包庇, 然后脑子里都知道这是自己的问题, 如果应该赔偿, 该赔偿赔偿, 赔多少在自己权限内尽可能给你争取更多的, 但是不能触发越级或者到上级的控制台显示出来, 引发进一步调查 但是赔偿的说法里不能说是赔偿 也不能说是阿里的问题或者阿里某些人的问题, 都是一些补偿措施, 或者歉意措施, 只要权限内他们不差钱... |
 |
17
ldapadmin 8 小时 34 分钟前 2
作者本身自己就不干净 要不咋一直在东南亚漂泊。你问问他为啥不敢回国。
|
 |
18
Gilfoyle26 7 小时 8 分钟前
水军这么多吗
 |
 |
19
Seanfuck 6 小时 26 分钟前
#12 这个倒真是,我大额支付以及线上微信 app 之外的支付都不会用微信,被骗了都没地方申诉。
|
 |
20
felixsama969 1 小时 33 分钟前
除了定位和获取设备信息有问题,其他都是正常功能
|
Select Language