精华内容
下载资源
问答
  • 这二天应朋友之托,要为他的游戏增加一个在线充值功能,因为支付宝/快钱等比较大牌的公司申请商户都要营业执照或付费,于是他选择了易宝支付(www.yeepay.com),下载了SDk开发文档看了下,功能还蛮全的,而且比较贴心...

    这二天应朋友之托,要为他的游戏增加一个在线充值功能,因为支付宝/快钱等比较大牌的公司申请商户都要营业执照或付费,于是他选择了易宝支付(www.yeepay.com),下载了SDk开发文档看了下,功能还蛮全的,而且比较贴心的是易宝提供了二种模式:测试模式和生产模式,测试模式下不必真实付费,就能得到跟真实生产模式一样的返回值,极大的方便了开发调试。

    易宝的充值大概分为二类,一类是银行卡类的网银在线支付,另一类是非银行卡类的充值卡支付(比如神州行,Q币充值卡等)

    接入过程中,发现一个明显的安全问题,充值卡支付时,居然允许用户在商户自己的网站上输入卡号和密码,而非象其它支付平台(比如快钱)先把用户引导到自己的官方平台(通常这类网址应该是https://开头)后再提示用户输入卡号密码等关键信息。

    相信大家也看出问题来了,程序员完全可以在用户输入完卡号/密码并提点提交后,可以先做点别的事情,然后决定是不是继续提交到易宝的网关!(如果程序员有心套取用户充值卡的卡号和密码,简直易如反掌)

    把这个问题反馈给他们技术,刚开始居然还没意识到,并不承认这是bug,实在无语。而且就算所有程序员都是良民,用户在没有看到官方支付平台的https://安全网址之前,有几个人敢输入卡号,密码等信息?

    为了引起他们的重视,我又写了封EMail给客服,得到的回复却是:


    尊敬的商家:
     
       您好,感谢您对易宝支付的支持,您的建议我们已经查看,这个技术的问题,如果您对我们的技术有建议的话那么建议您跟我们的技术的人员详谈下,再次感谢您对易宝支付的支持,谢谢。
     
     
         关于技术问题,您可以拨打技术支持热线....(电话号码隐去)
     
     
    客服中心...号(客服号码隐去)很高兴为您服务


    后来又在QQ上仔细跟他们技术讲解了一遍,这回总算意识到了,回复如下:

    易宝技术 2009-5-15 13:51:50
    恩,您这个问题提的很好,不过已经超出了我们的解决范围,我只是负责接口接入中的问题,我会跟相关人员反映此事,谢谢


    终于明白易宝为什么做不过支付宝/快钱这些同类公司了。因为这个问题可能涉及用户资金安全,个人觉得比较重要,所以放在首页希望用易宝接入的朋友们留神.(注:银行卡类的充值方式是没有问题的,因为是引导到银行自己的支付页面上进行的,安全完全由银行自己负责)

     

    最后:本文并无贬低易宝公司的意图,只是希望易宝公司尽快完善充值卡类支付渠道,以免给用户带来潜在风险。

    展开全文
  • 用户短信、收藏功能,会员在线充值,网银在线支付; 下载模块,支持计点会员和包月会员下载,反点等功能,无限制添加下载服务器,下载点数设置,添加软件只需要填写软件名称; 强大的模板后台,可灵活自由的生成模板...
  • 用户短信、收藏功能,会员在线充值,网银在线支付; 下载模块,支持计点会员和包月会员下载,反点等功能,无限制添加下载服务器,下载点数设置,添加软件只需要填写软件名称; 强大的模板后台,可灵活自由的生成...
  • JYCMS以安全第一为原则,解决了ASP程序的常见漏洞问题。程序自身无任何后门,严格的代码过滤为网站的安全运行提供了可靠的保障。 捷扬文章系统后台功能模块: 系统设置:网站信息设置 网站公告管理 网站广告管理 ...
  • 最新NZ源码交易平台虚拟交易付费下载系统 V2.25 完整开源版源码分享,多接口支付功能,会员自助充值、自助消费,自助提货、全程无人值守,适用但不仅限于源码交易、模板素材交易、交友等等虚拟交易平台,同时也适用...
  • 超漂亮版网上商城源码程序免费版下载(整合论坛)

    千次下载 热门讨论 2008-07-06 12:23:04
    多处的安全更新:进行了多处安全更新,加入了防SQL注入程序,后台管理均使用MD5不可逆加密,数据库做了防下载处理,最新版中我们对程序代码进行了全面的检查,修补了暴库漏洞、SQL注入漏洞 <br>QQ:294990966,...
  • 优化s树莓派4安装脚本,修补漏洞、合并关于下载排名文件的更新。 11-29 更新 优化输入数据提供方式,提高整体判题效率。 11-28 补丁 修复18.04以上系统里C++编译错误,对C/C++输出中文尝试支持。 11-22 补丁 ...
  • 已有的模块有:会员、在线充值、全站搜索、评论、专题、新闻心情、短消息、投票、友情链接、公告、附件管理、数据源模块、广告、采集、表单向导、手机门户等模块。 版本V9.3.4 功能变更及bug修正说明: 1. 修复...
  • 用户短信、收藏功能,会员在线充值,网银在线支付; 下载模块,支持计点会员和包月会员下载,反点等功能,无限制添加下载服务器,下载点数设置,添加软件只需要填写软件名称; 强大的模板后台,可灵活自由的生成模板...
  • 已有的模块有:会员、在线充值、全站搜索、评论、专题、新闻心情、短消息、投票、友情链接、公告、附件管理、数据源模块、广告、采集、表单向导、手机门户等模块。 版本v9.5.7 功能变更及bug修正说明: 修复...
  • PHPCMS v9.3.1 UTF8

    2013-03-25 09:19:02
    已有的模块有:会员、在线充值、全站搜索、评论、专题、新闻心情、短消息、投票、友情链接、公告、附件管理、数据源模块、广告、采集、表单向导、手机门户等模块。 phpcms v9.3.1 更新日志: 1、修正flash上传漏洞!...
  • SDCMS2.0深度优化版

    2013-03-23 02:40:24
    会员组、第三方用户登录、用户充值支付、用户投稿等功能,加强网站的互动性的同时也可为网站的发展带来一定的盈利模式。  SDCMS 开发了全新的、高效的、灵活性更强的模板引擎。无限循环标签、一个参数即可实现分页...
  • 小精豆新版

    2012-09-16 22:04:29
    7.修正退出后浏览所有图片漏洞 8.新增系统使用教程和意见建议反馈 2008.12.23 宝贝图库1.0 发布: -----系统功能-------- 1.系统网址、版权、备案、电信增值业务证、QQ、email、 联系电话、店铺...
  • 小时代CMSsdcms2.0

    2013-08-08 13:43:07
    会员组、第三方用户登录、用户充值支付、用户投稿等功能,加强网站的互动性的同时也可为网站的发展带来一定的盈利模式。  www.cjmshow.com-sdcms开发了全新的、高效的、灵活性更强的模板引擎。无限循环标签、一个...
  • 2、修复下载系统存在的漏洞,前台启用下载系统允许投稿的情况下,可能导致conn.asp文件被下载 3、修复user/reg/UserRegResult.asp,在请求HTTP_REFERER时候没有做过滤就带入到insert中去了 4、修复会员中心的短消息...
  • 2、修复下载系统存在的漏洞,前台启用下载系统允许投稿的情况下,可能导致conn.asp文件被下载 3、修复user/reg/UserRegResult.asp,在请求HTTP_REFERER时候没有做过滤就带入到insert中去了 4、修复会员中心的短消息...
  • 7.修正退出后浏览所有图片漏洞 8.新增系统使用教程和意见建议反馈 2008.12.23 宝贝图库1.0 发布: -----系统功能-------- 1.系统网址、版权、备案、电信增值业务证、QQ、email、 联系电话、店铺名称...
  • 7.修正退出后浏览所有图片漏洞 8.新增系统使用教程和意见建议反馈 2008.12.23 宝贝图库1.0 发布: -----系统功能-------- 1.系统网址、版权、备案、电信增值业务证、QQ、email、 联系电话、店铺名称...
  • 考试试题网站源码

    2021-03-25 17:23:47
    用户短信、收藏功能,会员在线充值,支持网银和NPS在线支付。 下载模块,支持计点会员和包月会员下载,反点等功能,无限制添加下载服务器,可以对每个下载服务器路径设置用户下载权限、下载点数设置,添加软件只需要...
  • 会员组、第三方用户登录、用户充值支付、用户投稿等功能,加强网站的互动性的同时也可为网站的发展带来一定的盈利模式。  SDCMS 开发了全新的、高效的、灵活性更强的模板引擎。无限循环标签、一个参数即可实现分页...
  • CreateLive CMS v4.2 What's New 1,修正跨频道移动后,连接地址不变 2,修正Soft等标签不随频道变换 ... 4,修正统计调用频道调用标签错误问题 5,改进统计调用,防止调用配置丢失 ...19,提供充值卡及转账功能
  • 修补下载任意文件漏洞 上传类型增加系统内置禁止类型 设了子帐号却未出现子字 删除分组时检测是否有用户属于此组 .net4在共享时选用户时不返回问题 多文件转发时下载地址相同的问题   旧版用户升级方法: 1...
  • 拥有企业网站常用的模块功能(企业简介模块、新闻模块、产品模块、下载模块、图片模块、招聘模块、在线留言、友情链接、会员与权限管理)。 Yourphp 3.0 企业网站管理系统是一款完全免费的PHP+MYSQL系统.核心采用了...
  • 能够有效的杜绝管理上的漏洞,使客户和经营者的联系更加紧密减少客户的流失,大幅度降低管理工作的工作量, 降低服务员的劳动强度节约成本,使您的经营管理变得轻松简单。持卡消费真正让客户感受到球馆的档次. 本系统...
  • 其次,影视系统增加支持百度播放器(默认)及快播,允许下载的话,还支持迅雷及快车下载,让前台用户可以自由选择播放器类型。后台添加的每部影片还支持自定义广告。可设置是否对VIP用户组开放观看影片免广发等。 ...
  • 其次,影视系统增加支持百度播放器(默认)及快播,允许下载的话,还支持迅雷及快车下载,让前台用户可以自由选择播放器类型。后台添加的每部影片还支持自定义广告。可设置是否对VIP用户组开放观看影片免广发等。 ...
  • 用户短信、收藏功能,会员在线充值,支持网银和NPS在线支付。 下载模块,支持计点会员和包月会员下载,反点等功能,无限制添加下载服务器,可以对每个下载服务器路径设置用户下载权限、下载点数设置,添加软件只需要...
  • A5下载站向大家推荐一款专业的会员管理软件——旺加会员管理系统。旺加会员管理系统采用云计算SAAS模式,集会员管理、会员积分管理、会员消费管理、会员统计分析、会员充值以及商品库存管理等功能于一体,支持电脑、...
  • 163电影网

    2005-08-12 06:10:17
    修正了一些漏洞(彻底跟黄金眼说拜拜) 18.多级管理员操作,演员搜索 19.下载地址和在线地址实现分离 20.观看电影记录,会员可以查看自己过去观看过多少部电影(电影名称、观看电影时间),会员报告...

空空如也

空空如也

1 2 3
收藏数 44
精华内容 17
关键字:

下载漏洞充值