今天发现易宝(yeepay)充值卡类支付方式可能存在的安全漏洞!

这二天应朋友之托,要为他的游戏增加一个在线充值功能,因为支付宝/快钱等比较大牌的公司申请商户都要营业执照或付费,于是他选择了易宝支付(www.yeepay.com),下载了SDk开发文档看了下,功能还蛮全的,而且比较贴心的是易宝提供了二种模式:测试模式和生产模式,测试模式下不必真实付费,就能得到跟真实生产模式一样的返回值,极大的方便了开发调试。

易宝的充值大概分为二类,一类是银行卡类的网银在线支付,另一类是非银行卡类的充值卡支付(比如神州行,Q币充值卡等)

接入过程中,发现一个明显的安全问题,充值卡支付时,居然允许用户在商户自己的网站上输入卡号和密码,而非象其它支付平台(比如快钱)先把用户引导到自己的官方平台(通常这类网址应该是https://开头)后再提示用户输入卡号密码等关键信息。

相信大家也看出问题来了,程序员完全可以在用户输入完卡号/密码并提点提交后,可以先做点别的事情,然后决定是不是继续提交到易宝的网关!(如果程序员有心套取用户充值卡的卡号和密码,简直易如反掌)

把这个问题反馈给他们技术,刚开始居然还没意识到,并不承认这是bug,实在无语。而且就算所有程序员都是良民,用户在没有看到官方支付平台的https://安全网址之前,有几个人敢输入卡号,密码等信息?

为了引起他们的重视,我又写了封EMail给客服,得到的回复却是:


尊敬的商家:
 
   您好,感谢您对易宝支付的支持,您的建议我们已经查看,这个技术的问题,如果您对我们的技术有建议的话那么建议您跟我们的技术的人员详谈下,再次感谢您对易宝支付的支持,谢谢。
 
 
     关于技术问题,您可以拨打技术支持热线....(电话号码隐去)
 
 
客服中心...号(客服号码隐去)很高兴为您服务


后来又在QQ上仔细跟他们技术讲解了一遍,这回总算意识到了,回复如下:

易宝技术 2009-5-15 13:51:50
恩,您这个问题提的很好,不过已经超出了我们的解决范围,我只是负责接口接入中的问题,我会跟相关人员反映此事,谢谢


终于明白易宝为什么做不过支付宝/快钱这些同类公司了。因为这个问题可能涉及用户资金安全,个人觉得比较重要,所以放在首页希望用易宝接入的朋友们留神.(注:银行卡类的充值方式是没有问题的,因为是引导到银行自己的支付页面上进行的,安全完全由银行自己负责)

 

最后:本文并无贬低易宝公司的意图,只是希望易宝公司尽快完善充值卡类支付渠道,以免给用户带来潜在风险。

posted @ 2009-05-15 14:30  菩提树下的杨过  阅读(5819)  评论(17编辑  收藏  举报