淘宝新规：长时间不登录，账号将被注销
　　那些长期不登录淘宝、支付宝账号的小伙伴，你们要注意了，因为账号有可能被注销！
　　一直以来，阿里对淘宝、天猫、支付宝等平台的整顿从未停息，继将淘宝和天猫会员体系打通，合并为“88会员”之后，如今阿里再次对淘宝、支付宝等平台服务协议进行更新。
　　昨日，阿里巴巴明确指出，支付宝、淘宝账号如果一定时间未登录使用，将被注销。
　　此消息一出，引来了网友的纷纷吐槽，人们关心最多的问题就是：以前花呗欠的钱还用不用还？？？
　　@鞋哥哥的日常：我欠的花呗可以一笔勾销吗？
　　@啊戏天：不能因为我穷了一阵子，就当我死了吧
　　@哎呦喂我的姑奶奶：如果不用还花呗 那我有个很大胆的想法
　　@徐徐觅觅_：又骗我逛淘宝
　　@梦碎的黎明L：我就要去当兵了，，你给我看这个？
　　@林一泽Lin：我花呗现在还没还呢，能给我销吗？不要客气哈
　　@思思是瘦子：敢紧买买买，多欠点花呗，尽管注销
　　支付宝方面是说的：
　　“为了防止资源占用，如您连续12个月未使用您的支付宝登录名或支付宝认可的其他方式登录过您的会员号或账户，支付宝会对该会员号或账户进行注销，您将不能再通过该支付宝登录名登录本网站或使用相关会员号或者账户。”
　　那么，注销之后里边的钱怎么办？
　　支付宝称，如果账户有关联的理财产品、待处理交易或余额，支付宝会协助处理，需要按照支付宝提示的方式进行操作。
　　另外，自开立支付宝账户之日起6个月内无主动交易，则重新核实身份之前，支付宝将有权暂停或者注销该支付宝账户。
　　支付宝明确指出，根据《非银行支付机构网络支付业务管理办法》规定，支付宝不得为金融机构，以及从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构开立支付宝账户。
　　如果某个账号属于上述范围，必须进行资金提现，或者通过转账等途径使用完毕，然后授权支付宝注销账户。
　　除此之外，支付宝平台也在日前修改了以下服务协议：
　　在会员号或账户中设置的昵称、头像、签名、留言等必须遵守法律法规、公序良俗、社会公德，且不会侵害其他第三方的合法权益，否则支付宝可能会取消昵称、头像、签名。
　　当发现账号被盗导致资金损失时，用户可以申请暂停或停止支付宝服务。如支付宝未在合理时间内采取有效措施，导致用户损失扩大的，支付宝将就扩大的损失部分承担责任，而支付宝对采取行动之前已执行的指令不承担责任。
　　支付宝会员号和账户仅限用户本人使用，不可转让、借用、赠与、继承，但支付宝账户内的相关财产权益可被依法继承。
　　淘宝平台方面称，当用户的账户符合以下条件时，淘宝将收回账号，账户将不能再登录任一阿里平台，相应服务同时终止：
　　1、未绑定通过实名认证的支付宝账户；
　　2、连续六个月未用于登录任一阿里平台；
　　3、不存在未到期的有效业务。
　　淘宝规定，一个用户在淘宝网仅能开设一家店铺，淘宝可关闭您在淘宝网同时开设的其他店铺，店铺连续六周无出售中的商品的情况下，淘宝也可依据淘宝网规则关停您的店铺。
　　淘宝规定还表示，依法纳税是每一个公民、企业应尽的义务，卖家应对销售额/营业额超过法定免征额部分及时、足额地向税务主管机关申报纳税。
　　对于买家发布的评价来说，当包含下列内容时，淘宝网将对用户评价进行删除或者屏蔽：
　　最后弱弱地问一句：你多久没有登过自己的支付宝和淘宝账号了？
　　*本文转载自 IT时代网（素材来源于快科技、站长之家、天极网、IT之家等）内容仅代表作者独立观点，不代表派代网立场。如涉及版权等问题请联系派代小蜜（ID：paidai2002）
如果喜欢我们的文章，可以顶置公号哦~
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点淘宝账号和支付宝账号是什么关系？？？
全部答案（共4个回答）
你可以把淘宝想像成是百货商场，把支付宝想像成是商场里可刷银行卡的pose机收银系统。所以，你的淘宝账号就是百货商场的会员卡，你的支付宝账号就是你的银行卡。你的商场会员卡一般是用来在此商场消费积分用的，而你消费支付时刷银行卡支付。同时，你的银行卡不但可以在此商场支付，还可以去其他商场支付或者给别人转账去ATM机取钱等进行金融服务，银行卡并不受此百货商场会员卡的束缚，这没有什么束缚的关系。好的，此时问题出现了，那为什么支付宝账号可以登录淘宝账号呢？因为为了在淘宝上购物都采用的是支付宝系统，所以为了方便，你用支付宝也可以登录淘宝账号喽。同时，支付宝作为第三方支付平台，其实在逻辑关系上是完全脱离淘宝的，淘宝就是个普通的网络商城，只有你到了支付环节才会用到支付宝。其他的商城到了支付环节的时候也可以用支付宝支付。再有，支付宝是中国第一批网络第三方支付平台，是马云当时做淘宝商城时一起做的，所以现在支付宝系统与淘宝商城这么紧密了，他们的爹都是马云。从纯技术逻辑角度讲，淘宝完全可以与qq的易付宝合作，在支付淘宝商城的产品时跳到易付宝页面。但这种情况在现实中不可能发生。马云的两个儿子淘宝商城与支付宝系统是双胞胎，一个是开私人银行的（支付宝），一个是房地产巨鳄(淘宝商城），经常要找银行贷款盖楼房。你说他这两个儿子能不紧密合作嘛～
支付宝账号只支持邮箱账号
这两个账号
淘宝账号可以随便注册
建议不要和支付宝一样 容易泄露你的支付宝账号 泄露出去了就等于泄露你的银行卡账号 ...
这个就是用户的名称啊
1、在淘宝网注册帐户进入淘宝网的首页，点左上角“免费注册”。新页面打开后输入你想要的用户名，输入两遍密码（密码尽量复杂点），输入图片中的验证码，点击“同意协议并...
支付宝账号其实有两种输入：1，输入注册时的账户名2，输入注册时的邮箱号也就是支付宝账号这两种都可以登陆你的支付宝账户，区别不大，都能用的
建议按忘记密码，重新修改一次！
答: 恶露两个多月还没干净怎么回事？别人不是应该一个月就干净了吗？怎么办？
答: 慢慢弄。我最开始只会装游戏；后来中国有了网络慢慢跟朋友上聊天室聊天；后来出了OICQ（现在叫QQ），又用那东西聊；然后上联众玩在线游戏（棋牌类）；后来乱七八糟逛...
答: 七十年代的计算机网络X.25 分组交换网：各国的电信部门建设运行各种专用的网络体系结构：SNA，DNAInternet 的前身ARPANET进行实验运行八十年代...
大家还关注
确定举报此问题
举报原因(必选)：
广告或垃圾信息
激进时政或意识形态话题
不雅词句或人身攻击
侵犯他人隐私
其它违法和不良信息
报告，这不是个问题
报告原因(必选)：
这不是个问题
这个问题分类似乎错了
这个不是我熟悉的地区
相关问答：123456789101112131415　　此骗子是福建南平人，贴吧Id是网络红人颜泽，名字可能叫陆天明，是揭发吧吧主。高智商骗子。　　半卖半骗，卖出的支付宝，成品店，开店资料都有存档，可申诉找回。有的群友支付宝被转走数千。　　骗子用多个qq，手机，转账支付宝犯案，爱逛骗子等认坛贴吧。　　以下是人肉和群友提供的资料，希望更多受骗的朋友报警，引起重视，在销毁证据前抓住他。　　用的qq：9205976　　用的手机：
　　个人网站　　报警人居住在南平的，直接到辖区派出所报案;报警人居住在其他城市的，向居住地警方报案。　　　　
楼主发言：1次 发图： | 更多
　　2013年的11月份，因为支付宝快捷支付存在严重安全漏洞，导致骗子骗取我的相关信息，然后假冒我的名义注册支付宝账户，支付宝没有进行身份验证，误将骗子的操作当做我的操作，支付宝受骗子所骗将我银行卡里的15000元钱全转给骗子了。　　我的遭遇就和央视13今年6月2日报道的情形一样，和福建泉州的康先生的遭遇一样。　　我当天就投诉了支付宝，但至今几十次的投诉，95188的客户人员拒不承认支付宝有过错，拒不赔偿我的损失。　　在我投诉很多次之后泉州的康先生又遭遇和我一样的损失事故，这说明支付宝这个狗屁公司根本没有把受害人的投诉当回事，也没有引起重视，无视全国人民的财产安全。才会导致同样的骗局一再出现和得逞。　　支付宝快捷支付存在严重的安全问题，导致全国很多人财产损失，而这些是该由支付宝来承担赔偿的法律责任的，但支付宝这个狗屁公司只会把责任推在受害人身上，从来不会承认自己有过错，不会主动承担法律责任。　　我认为支付宝应该承担全部赔偿责任，因为一我不是支付宝的客户不受支付宝资金支付的规则约束，二是支付宝没有法律依据可以在骗子骗取我的身份信息、银行卡信息、留骗子的手机号码为短信通号码的情况下将我的钱转给骗子，我的遭遇就和央视今年6月2日报道的情形一样，和福建泉州的康先生一样，但央视却不告诉大家支付宝是要承担赔偿责任的。因为支付宝一直没有执行银监会86号文规定，验证客户身份，导致骗子假冒他人信息注册账号，而支付宝却不审查是不是本人注册是不是本人转款，全国的受害人团结起来共同对付支付宝，支付宝仗着自己是大公司，以大欺小，根本不把我们受害人放在眼里，牺牲我们的利益来帮他们赚钱，我准备起诉支付宝，请有相同经历的人和我联系。qq. 　　全国被支付宝将钱转给骗子的受害者众多，但支付宝总是将责任推在受害者身上，什么泄露了信息等等，我反问支付宝要是你们的快捷支付没有安全漏洞，骗子会来骗我的相关信息吗？支付宝就哑口无言了，所以表面上是受害者受骗，实际上是支付宝受骗，支付宝没有识别是骗子在骗钱，就将钱转给骗子了，造成受害者的损失，支付宝又拒不承认错误拒不承担赔偿责任，这是没有社会责任感的企业。快捷支付帮助支付宝公司赚取了大额钱财，却牺牲了全国很多不懂支付宝支付规则的人的钱财，支付宝为了自己赚钱不顾快捷支付的安全漏洞，不顾快捷支付造成了很多人财产损失的事实，快捷支付可以帮助支付宝赚取巨大的经济利益，却存在很大的安全漏洞，支付宝为了自己公司赚钱不管存在的安全问题，因为安全问题被骗的是他人的钱财，不是公司的钱财，而快捷支付却可以帮公司赚大钱，所以支付宝还是站在了快捷一边舍弃了安全。在很多受害人反映投诉和网上批评的情况下，支付宝毫无反应，不检讨自身的问题并加以改进，任由骗子骗取别人的钱财，而支付宝起着帮凶的作用，赚取的大额钱财是支付宝的，被骗的大额钱财却由广大的受害者承担了，有这样做生意赚钱的公司吗？将自己的利益建立在他人的损失之上并不加以赔偿。　　支付宝制定的资金支付规则只能约束自己的客户，对于没有在支付宝上注册的人来说，他的规则和我们毫无相关，根本不能约束我们，在我们没有授权支付宝支付和法律规定支付宝可以支付的情况下，支付宝误将骗子当成自己的客户从而将他人钱财转给骗子，毫无疑问，支付宝应该承担赔偿他人损失的法律责任。　　我呼吁全国支付宝的受害者团结起来，一起来控诉支付宝，一起来起诉支付宝，让他这个大公司知道，平民百姓也不是好欺负的。我的联系方式qq.　　我准备去杭州起诉支付宝，因为近一年的投诉，支付宝毫无悔改。　　在工行领导披露支付宝一直违法后其公司员工竟然恬不知耻地在博客上发表反驳文章，称支付宝是安全的。去看看6月2日央视13的新闻报道吧。还有请马云大人关注，不要只顾自己赚钱，牺牲了多少的利益也请关注和处理。这才是一家大公司该有的所为。
请遵守言论规则，不得违反国家法律法规回复(Ctrl+Enter)一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -（埋雷式攻击附带视频演示） - 知乎专栏
{"debug":false,"apiRoot":"","paySDK":"/api/js","wechatConfigAPI":"/api/wechat/jssdkconfig","name":"production","instance":"column","tokens":{"X-XSRF-TOKEN":null,"X-UDID":null,"Authorization":"oauth c3cef7c66aa9e6a1e3160e20"}}
{"database":{"Post":{"":{"contributes":[{"sourceColumn":{"lastUpdated":,"description":"誓与AV抢宅男！
http://www.pkav.net","permission":"COLUMN_PRIVATE","memberId":98914,"contributePermission":"COLUMN_PUBLIC","translatedCommentPermission":"all","canManage":true,"intro":"誓与AV抢宅男！
…","urlToken":"pkavsec","id":1363,"imagePath":"","slug":"pkavsec","applyReason":"","name":"PKAV 技术宅","title":"PKAV 技术宅","url":"/pkavsec","commentPermission":"COLUMN_ALL_CAN_COMMENT","canPost":true,"created":,"state":"COLUMN_NORMAL","followers":4723,"avatar":{"id":"","template":"/{id}_{size}.jpg"},"activateAuthorRequested":false,"following":false,"imageUrl":"/_l.jpg","articlesCount":3},"state":"accepted","targetPost":{"titleImage":"/139cb5ea0c4a8880183ebf3bffdffaec_r.jpg","lastUpdated":,"imagePath":"139cb5ea0c4a8880183ebf3bffdffaec","permission":"ARTICLE_PUBLIC","topics":[],"summary":"0x00 说在前面的话 下面是一段如何利用flash xss rookit漏洞来窃取淘宝/支付宝帐号密码的演示视频，（* 当前漏洞已经修复）：由于视频网站上传的均不给通过，只好给出一个URL了： 网速好的可以下载并观看清晰版本：…","copyPermission":"ARTICLE_COPYABLE","translatedCommentPermission":"all","likes":0,"origAuthorId":1394156,"publishedTime":"T00:17:20+08:00","sourceUrl":"","urlToken":,"id":72027,"withContent":false,"slug":,"bigTitleImage":false,"title":"一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -（埋雷式攻击附带视频演示）","url":"/p/","commentPermission":"ARTICLE_ALL_CAN_COMMENT","snapshotUrl":"","created":,"comments":0,"columnId":1363,"content":"","parentId":0,"state":"ARTICLE_PUBLISHED","imageUrl":"/139cb5ea0c4a8880183ebf3bffdffaec_r.jpg","author":{"bio":"理想是狗屁","isFollowing":false,"hash":"cc137b49adb8e5e154dd23ba7820d93b","uid":24,"isOrg":false,"slug":"tong-fei-61","isFollowed":false,"description":"生物信息学、植物生殖发育、分子生物学；前端开发及安全；gainover@pkav；；","name":"童斐","profileUrl":"/people/tong-fei-61","avatar":{"id":"fc992e71c881d2acf5ab97a","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false},"memberId":1394156,"excerptTitle":"","voteType":"ARTICLE_VOTE_CLEAR"},"id":242504}],"title":"一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -（埋雷式攻击附带视频演示）","author":"tong-fei-61","content":"0x00 说在前面的话 下面是一段如何利用flash xss rookit漏洞来窃取淘宝/支付宝帐号密码的演示视频，（* 当前漏洞已经修复）：由于视频网站上传的均不给通过，只好给出一个URL了：网速好的可以下载并观看清晰版本：2月底我们PKAV团队在乌云()上向阿里（淘宝/支付宝）报告了该漏洞，漏洞的标题看起来有点恐怖，但它绝对不是“标题党”。 乌云的漏洞审核人员在看了漏洞中的视频演示后，为其附加了一个生动又有一点霸气的名字：\"埋雷式攻击\"。为何叫埋雷呢？本文中也会给出具体的解释。当时阿里推出了5W的奖励计划，有人问我这个漏洞为什么不上报asrc（阿里巴巴漏洞应急响应中心），报乌云没奖励的，我给出的答复是：“ 思路灵感都是乌云来的，自当报还之”。本人乃至本团队，还是更喜欢并赞同乌云上这种透明的机制，从我们自身角度来讲能学习到不少，从用户角度来讲，至少可以让用户知道发生过什么，怎么保护自己 （试想，如果本文中的漏洞曾被黑客拿来窃取过用户帐号与密码，然后某天厂商修复了，用户并不知道曾经有这个漏洞发生过，也不知道自己密码是如何被盗的）。从厂商角度来讲：Oh
shit! 不要拿漏洞恐吓用户！下面带大家一起来感受一下，这个来自乌云，又回归乌云的漏洞历程。0x01 第一次漏洞报告
这个有意思的漏洞最初在乌云上由白帽子neobyte报告（），该漏洞描述了在一些FLASH应用中，因使用Local Shared Object （以下简称LSO）与ExternalInterface.addCallback而导致的一类XSS漏洞。由于此前并没有见到类似的报告，从开发人员角度来说，并不会 十分去注意并防御此类漏洞。我们来看看，在开发人员的角度，通过js与as的交互来实现读取FLASH本地缓存功能的流程图:在这个示意图中，红色的箭头表示函数的调用，蓝色的箭头表示用户数据的流向。普通的开发人员仅仅在意功能是否完整的实现；带有一些安全意识的开发人员会注意到，jsGetData所获得的数据需要经过过滤再进入DOM, 如果没有考虑这点会造成什么安全问题呢？乌云上的p.z大神也给我们举了一个好例子（在这个示意图中，红色的箭头表示函数的调用，蓝色的箭头表示用户数据的流向。普通的开发人员仅仅在意功能是否完整的实现；带有一些安全意识的开发人员会注意到，jsGetData所获得的数据需要经过过滤再进入DOM, 如果没有考虑这点会造成什么安全问题呢？乌云上的p.z大神也给我们举了一个好例子（）;
但是现在，我们将会遇到一个最糟糕的情况：“不论你是否是一个有安全意识的程序员，你都十分可能掉入这个坑中！”。这是一个什么样的坑呢？ 我们得先更深入了解下javascript调用FLASH所提供的函数接口时，到底做了哪些事情。下图描述了当我们调用jsGetData函数来获取FLASH本地缓存数据的调用过程：
上面是一个正常获取数据的流程，假设LSO中存放的数据是AAAAAAAAAAAA，最终，我们的data变量的值也为AAAAAAAAAAAA，当然，这是理想状态下的情况。如果你对DOM XSS有一定了解，也知道eval是多么evil！(不了解但有兴趣的参见本人马甲贴：)，那么你一定不难想到下面的做法：将存储在LSO中的数据做以下改变:AAAAAAAAAAAA\n返回数据过程中会执行：\neval('\"AAAAAAAAAAAA\"');\n\n如果我们将存储的数据更换为:\n\nAAAAAA\";alert(1);//AAAAAA\n返回数据将执行：\neval('\"AAAAAA\";alert(1);//AAAAAA\"');\n
可以看到，我们在eval的数据中插入了一个alert(1)，当eval执行时，就会执行弹窗操作！（你也可以打开F12的console，然后复制上面的代码运行试一试！）
然而，上面只是我们假想的情况。实际上FLASH会对返回数据进行转义操作，将双引号 (\") 转义为反斜线+双引号 (\\\")，即我们更改存储的数据后，实际执行的是下面的代码：eval('\"AAAAAA\\\";alert(1);//AAAAAA\"');\n正是这个转义，使得我们上面的想法泡汤了。但是，别灰心，FLASH对返回数据的过滤是存在问题的，虽然过滤了双引号 (\")，但是FLASH并没有过滤反斜线 (\\)，我们只需将上面的代码稍加修改，如下：AAAAAA\\\";alert(1);//AAAAAA\n返回数据将会是以下的情况：\n返回内容 &- \"AAAAAA\\\\\";alert(1);//AAAAAA\"\n随后返回内容进入eval被当作脚本执行。\neval('返回内容');\n//如果你想在控制台测试效果，可以执行以下代码\neval('\"AAAAAA\\\\\\\\\";alert(1);//AAAAAA\"');\n\n//-- 此处由 @piaca 指出并更正描述，由于实际内容写成字符串时，反斜线需要被写成转义形式。 \n其中双引号 (\")被转义为反斜线+双引号(\")，但是该反斜线却被我们添加的反斜线所转义（F12，试一试，又会执行alert(1)了）。小总结：到了这里，我们可以知道的是，如果我们可以在LSO中存储恶意数据，当HTML页面中通过javascript调用jsGetData函数，继而通过actionscript中的asGetData函数, 从Flash本地存储中读取该恶意数据时，就会触发我们的恶意代码。
接下来的问题，我们如何往LSO中添加我们的恶意数据呢？最暴力的方法是，抢你电脑，拔你网线，拆你硬盘，而后改之！，&@……！%&！%@ ... 温柔，一定要温柔！在我们的第一个图中，开发人员同样为我们实现了jsSetData -& asSetData -& LSO的流程，也就是说，我们可以通过Javascript调用jsSetData来实现修改LSO中的数据。从功能角度上是这么设计的，然而出于安全考虑，FLASH所提供的外部函数接口，并不是什么时候都可以调用的，在默认情况下，只有的网页文件才能调用下的FLASH文件所提供的函数接口，如下图：这样看来，其实在默认的安全设置下，我们并没有直接的办法来修改数据。此外，每个域名下FLASH文件所使用的缓存是独立的，因而正常情况下，我们也无法使用的FLASH文件来修改下的FLASH缓存（不排除有猥琐的办法哦～）。然而，这种”js读写FLASH缓存“的功能模块，天生会要求有一种特性，就是写一次，四处皆可用，从开发的角度来讲，这是天经地义的事情，方便，很方便。于是乎，开发人员在代码中加上了下面这么一句：Security.allowDomain(\"*\");\n这一句代码的具体作用，可参见官方手册（），简单来说，这一句话，打破了我们上面所述的FLASH默认安全设置，使得任何域名下的网页均可以调用A.com下FLASH文件所提供的addCallback接口。这样一来，我们整个漏洞的原理图就可以建立起来了：这个图箭头比较多。当黑客创建了恶意页面后，我们以受害者作为起点，当受害者访问了恶意页面后，会执行一系列操作，从而将恶意数据存入LSO中，这个过程，我们称之为“埋雷”。哪里会被“埋雷”呢？答案是很多地方：这个图箭头比较多。当黑客创建了恶意页面后，我们以受害者作为起点，当受害者访问了恶意页面后，会执行一系列操作，从而将恶意数据存入LSO中，这个过程，我们称之为“埋雷”。哪里会被“埋雷”呢？答案是很多地方：譬如：低级一点的：黑客A向你发送一个链接，你点开了。不知不觉一点的：当你到处点网页的时候！高级一点的：你看了一篇黑客写的博文/日志，或是有黑客给你的QQ空间日志发表了一条留言或者评论，内容里被植入了XSS代码（需结合QQ的XSS漏洞），你点开了。再高级再不知不觉一点的：某天你QQ收到了一条礼物消息（），或者是某天突然来了一个陌生人的QQ对话框（）。总之，如果是有心而为之，你！，被埋雷的可能性非常大。当受害者被埋下雷之后，受害者再次访问目标站（比如本次漏洞中的淘宝，或者是支付宝），黑客所埋下的恶意代码就会被触发，Bomb! 雷就爆炸了！当然，实际上黑客不大可能去恶作剧式的“Bomb!\"的吓你一跳，而是偷偷的，悄无声息的利用这颗无声的”雷“来窃取受害者的帐号与密码。看我敲了这么多，发了这么多张图，你们觉得这个漏洞的潜在危害大么？反正我觉得挺大的，再来看看厂商对neobyte提交漏洞的响应：危害等级：中漏洞Rank：8确认时间： 16:44是的，厂商似乎没有感觉到这个漏洞的危害。0x02 第二次漏洞报告
到了号，我已经可以查看neobyte所提交的漏洞详情，于是就对他所提交的这个漏洞进行了研究，由于自己对FLASH也推敲过一些，在明白成因之后，也下载了漏洞中所提到的那个存在缺陷的FLASH文件（）。以下是对方的修复代码：public function getlso():String{\n\tvar _local1:SharedObject = SharedObject.getLocal(\"kj\");\n\tvar _local2:RegExp = new RegExp(\"[a-zA-Z]\");\n\tif (_local1.data.key == undefined){\n\t\treturn (\"\");\n\t};\n\tif (_local2.test(_local1.data.key)){\n\t\tthis.setlso(\"\");\n\t\treturn (\"\");\n\t};\n\treturn (_local1.data.key);\n}\n由于业务上，淘宝此处存储在LSO的数据，并不需要字母，但是恶意代码中却需要使用到字母，例如：alert。所以开发人员这里加上了一个正则判断：“如果所获取的数据中存在字母，则返回空字符串”。是的，看起来是被修复了，但是依然存在问题，一来，开发人员并没有过滤掉真正导致潜在危害的反斜线(\\)，二来，Javascript中调用函数完全可以不需要存在任何字母，纳尼？？一起来看看：//我们可以使用以下方式创建一个函数:\nnew Function(\"alert(1)\");\n//也可以不要new\nFunction(\"alert(1)\")()\n//可以将Function转换下\n\"...\".substr.constructor(\"alert(1)\")()\n//再转换下\n\"...\"[\"substr\"][\"constructor\"](\"alert(1)\")()\n//字符串全部转义\n\"...\"[\"\\163\\165\\142\\163\\164\\162\"][\"\\143\\157\\156\\163\\164\\162\\165\\143\\164\\157\\162\"](\"\\141\\154\\145\\162\\164\\50\\61\\51\")()\n这样我们就实现了不需要字母即可执行alert(1)的目的。再利用在上一小节中所说的恶意代码构造技巧，我们只需将AAAAAAAAAAAAAA替换为以下代码：...\\\"[\"\\163\\165\\142\\163\\164\\162\"][\"\\143\\157\\156\\163\\164\\162\\165\\143\\164\\157\\162\"](\"\\141\\154\\145\\162\\164\\50\\61\\51\")()//..\n漏洞就这样再次出现了，虽然当时已经想到这个漏洞用来钓鱼的危害挺大，但是并没有动力去做一个钓鱼演示，并且漏洞刚被阿里修复不久，只是出于技术上的好意，想提醒开发人员完美的修复。于是，我“不好意思”的登上了我另外一个马甲号，发了一个续集：。当时我给漏洞自评了8分，因为漏洞的原作者neobyte也只要了8分，我也没敢多要。但是，对方竟然只给了我5分：危害等级：中漏洞Rank：5确认时间： 14:190x03 第三次漏洞报告恩，不得不说，为什么还会有第三次呢？主要是因为上面这个5分！个人觉得，如果一个漏洞被修复后，又被绕过，这是更加严重的情况，怎么说也不应该给5分，起码也得6分是不！。这个5分大大刺激了我的“报复欲”，让我想再次绕过他们的修复方案，然后做一个大规模的钓鱼演示，让他们知道这个绝对不能是5分！！！。但是呢，这一次他们的修复方案并没有好的绕过方法！ 虽然如此，隔三差五的，我还是会去研究研究，不怕贼偷，就怕贼惦记.......，直到有一天，我发现FLASH中的修复方案竟然被换掉了，并且，第一眼，我就看出这个换掉的方案又出现问题了。新的修复代码如下：private function getlso():String{\n\tvar _local1:SharedObject = SharedObject.getLocal(\"kj\");\n\tvar _local2:RegExp = new RegExp(\"[\\\\({]\");\n\tif (_local1.data.key == undefined){\n\t\treturn (\"\");\n\t};\n\tif (_local2.test(_local1.data.key)){\n\t\tthis.setlso(\"\");\n\t\treturn (\"\");\n\t};\n\treturn (_local1.data.key);\n}\n可以看到，正则表达式 _local2 仅仅过滤了 ( 和 { ，而前面也已提到，正确的过滤方法应该是过滤 \\ 。经过前面2轮的洗礼，我觉得安全人员应该是知道\\的危害了，为什么还会出现过滤失误呢？我在漏洞描述中也已经给出了以下猜测，后确认，答案是B。毕竟我也是写了很多年前端的，RegExp这个坑在我曾经也数次掉入。A. 响应漏洞的同学并没看到我的修复建议并转告开发同学。B. 开发的同学，认为 [\\\\({] 是 \\ , ( 和 } 的集合， 而实际上，RegExp方式创建正则表达式时，需要写成 [\\\\\\\\({] ，原因是：\\在字符串里是转义符，在正则里也是转义符。当然，还需要注意的是，这个正则，不允许(和{，那么还可以执行javascript代码吗？答案是可以的，如下：location.href=\"javascript:alert%28129\";\n使用location.href来执行js，并且将其中的括号与花括号进行URL编码。嗯，这个漏洞就这样再次出现了，这一次我可不想再得到那可怜的5分！于是花了时间写了一个真实可利用的代码，并录制了本文最开始的视频，撰写了漏洞报告（）。阿里这次给出了15分，还是没有给出我心中的20分。怎么说呢，从用户角度来讲，它的危害肯定是值20分的，但是厂商并不总是站在用户考虑问题的。危害等级：高漏洞Rank：15确认时间： 10:250x04 对于开发人员注意addCallback: 在Flash中使用addCallback向外部提供函数接口时，如果as中对应函数的返回值是String, Array, Object等类型，并且返回数据中有用户可控的数据时，建议对返回值进行过滤操作，将反斜线(\\)过滤掉。如果没有进行过滤的话，则可能出现与（）相类似的案例。这里我就不给出具体的过滤代码了，相信一般的开发人员的as都比我写的好，以下是伪代码：function asFunction():String{\n
var data:String=\"xxx某些用户可控数据xxx\";\n
var obj:Object={\"name\":\"用户可控数据\"};\n
data = 过滤(data);\n
obj = 遍历过滤(obj); \n
return data; 或 return obj;\n}\n勿滥用Security.allowDomain(\"*\"): 不是非常、极其、十分需要的情况下，建议将allowDomain限定在指定的域名下面，而不要为了方便而使用*。因为使用*，可能还会导致其它安全问题。0x05 对于普通用户由于这类漏洞十分隐蔽，目前应该没有安全软件能防御此类攻击。鉴于绝大部分厂商并不会“举一反三”的修复同类问题，我们不能完全指望厂商，安全还得靠自己。如果我们尽可能的定期清理Flash player缓存，理论上会大大降低此类漏洞造成的危害。Flash的本地缓存一般存放在一个叫做 #SharedObjects的目录中，如果有使用Everything这款搜索工具的网友，可以使用Everything查找所有#SharedObjects目录，然后这些目录下的目录（8位的数字/字母组成）下的内容进行删除处理。（当然，删除#SharedObjects目录下数据，可能导致一些FLASH游戏或者FLASH应用的数据需要重新下载，但是相比之下，安全更重要。） 如果你没有使用Everything，下表列出了IE和chrome中Flash的缓存目录所在，找到对应目录进行清理即可，其它浏览器用户，如360，搜狗，可自行搜索C盘下SharedObjects目录进行相应删除操作。IE浏览器C:\\Documents and Settings\\用户名 \\Application Data\\Macromedia\\Flash Player\\#SharedObjects （Win XP 系统）C:\\Users\\用户名\\AppData\\Roaming\\Macromedia\\Flash\n
Player\\#SharedObjects\\ （Win 7）ChromeC:\\Documents and Settings\\用户名 \\Local Settings\\Application Data\\Google\\Chrome\\User Data\\【用户目录】\\Pepper Data\\Shockwave Flash\\WritableRoot\\#SharedObjects （Win XP 系统）C:\\Users\\用户名\n
\\AppData\\Local\\Google\\Chrome\\User Data\\【用户目录】\\Pepper\n
Data\\Shockwave Flash\\WritableRoot\\#SharedObjects （Win 7）*【用户目录】可能是Profile+数字 或者 Default常见的“卫士”软件，自带了垃圾清理功能，但是可能在默认设置中，并未开启清理FLASH缓存功能，所以需要用户手动勾选“清理Flash player缓存”。这里以金山卫士为例：清理垃圾-&其它常用软件产生的垃圾文件-&Flash player缓存。\n但是该方法也许并不会完全清理干净，例如：并不会清理chrome浏览器的flash缓存，因此还是建议使用以上方法手工清理。0x06 说在后面的话
这个漏洞虽然标题是在说“窃取淘宝/支付宝的帐号与密码”，有些人觉得反正不知道支付密码，不要紧！但是这个漏洞所造成的潜在危害，并不是只有淘宝/支付宝帐号与密码那么简单。试想，如果在淘宝的登录页面上再结合一个QQ的xss漏洞，我们可以得到什么信息呢？淘宝/支付宝帐号、密码，QQ帐号及QQ相关信息（关于QQ的XSS可以做什么，参见乌云一哥jannock的 ，这个2012年时候的情况，现在已经有所好转，但是当前状况依然不是太好）。此外，由于淘宝/支付宝这类涉及现金的帐号，密码等级往往十分高，可能会出现支付宝登录密码同样是QQ密码的情况，所以这类密码一旦泄漏，可能会涉及后续更严重的信息泄漏。","updated":"T16:17:20.000Z","canComment":false,"commentPermission":"anyone","commentCount":27,"collapsedCount":0,"likeCount":209,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","titleImage":"/139cb5ea0c4a8880183ebf3bffdffaec_r.jpg","links":{"comments":"/api/posts//comments"},"reviewers":[],"topics":[],"adminClosedComment":false,"titleImageSize":{"width":600,"height":450},"href":"/api/posts/","excerptTitle":"","column":{"slug":"pkavsec","name":"PKAV 技术宅"},"tipjarState":"inactivated","annotationAction":[],"sourceUrl":"","pageCommentsCount":27,"hasPublishingDraft":false,"snapshotUrl":"","publishedTime":"T00:17:20+08:00","url":"/p/","lastestLikers":[{"bio":"开发狗","isFollowing":false,"hash":"ed3eebe5d","uid":20,"isOrg":false,"slug":"sheng-shan","isFollowed":false,"description":"带着问题去学习，在实践中成长！","name":"sheng shan","profileUrl":"/people/sheng-shan","avatar":{"id":"fcdedde60","template":"/{id}_{size}.png"},"isOrgWhiteList":false},{"bio":"正版品牌鞋","isFollowing":false,"hash":"a8eb32b4df35afaae79be7","uid":068500,"isOrg":false,"slug":"tian-tian-tian-42-11","isFollowed":false,"description":"V:","name":"甜哥","profileUrl":"/people/tian-tian-tian-42-11","avatar":{"id":"v2-f5c9ee9d125a0c8a76db26","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false},{"bio":"毛毛毛","isFollowing":false,"hash":"f65768a2","uid":410700,"isOrg":false,"slug":"mao-mao-mao-43-96","isFollowed":false,"description":"","name":"毛毛毛","profileUrl":"/people/mao-mao-mao-43-96","avatar":{"id":"83a181cd6d2e458cba41d5e","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false},{"bio":"一位不愿透露姓名的神秘人物","isFollowing":false,"hash":"dccab9bcedf4","uid":933400,"isOrg":false,"slug":"iautumu","isFollowed":false,"description":"","name":"鹿先生","profileUrl":"/people/iautumu","avatar":{"id":"v2-1fc6e19c7d67","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false},{"bio":"胡马依北风","isFollowing":false,"hash":"42e423b4aec147","uid":76,"isOrg":false,"slug":"alex-jia","isFollowed":false,"description":"程序金融狗，文艺青年","name":"Alex Jia","profileUrl":"/people/alex-jia","avatar":{"id":"f62c03458","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false}],"summary":"0x00 说在前面的话 下面是一段如何利用flash xss rookit漏洞来窃取淘宝/支付宝帐号密码的演示视频，（* 当前漏洞已经修复）：由于视频网站上传的均不给通过，只好给出一个URL了： 网速好的可以下载并观看清晰版本：…","reviewingCommentsCount":0,"meta":{"previous":{"isTitleImageFullScreen":false,"rating":"none","titleImage":"/50/c053ff991edf026acb8ad_xl.jpg","links":{"comments":"/api/posts//comments"},"topics":[],"adminClosedComment":false,"href":"/api/posts/","excerptTitle":"","author":{"bio":"理想是狗屁","isFollowing":false,"hash":"cc137b49adb8e5e154dd23ba7820d93b","uid":24,"isOrg":false,"slug":"tong-fei-61","isFollowed":false,"description":"生物信息学、植物生殖发育、分子生物学；前端开发及安全；gainover@pkav；；","name":"童斐","profileUrl":"/people/tong-fei-61","avatar":{"id":"fc992e71c881d2acf5ab97a","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false},"column":{"slug":"pkavsec","name":"PKAV 技术宅"},"content":"
首先上这一期新的视频：
“当小白兔遇上大灰狼” (内容实际上是存储型XSS的危害演示)。邪恶的大灰狼，在一篇看似很漂亮的日志里，插入了自己的恶意代码！这段恶意代码绕过了腾讯的过滤，可以成功窃取访问者的登录信息（cookies）! 大灰狼窃取了小白兔的cookies，并利用小白兔的cookies成功登录了小白兔的QQ空间，查看了很多本来看不到的东西。俗话说，上网不要乱点链接！这句话是对的！但是即使不是乱点链接！依然可能像小白兔一样！有人会说，我Q上没有黑客，他们的日志很安全！但是你很难保证你朋友的日志没有被黑客修改过！那我该怎么办啊！！！办法是：收听腾讯微博 pkavsec
, 哈哈！大家国庆节快乐～
前些天，我们组织就放出了一个短片，短片中，我们向一位妹子（特别鸣谢演员肉肉）发送一个恶意链接，此链接中含有一枚腾讯DOM XSS。通过XSS获取到了此妹子的Cookies，从而进入妹子QQ空间，查看一些敏感信息。在此视频下，有一位用户评论：”有意思吗？能劫持到的都是信任你们的人。不然谁会没事点开一些乱七八糟的链接。标题应该改为《黑客值得信任吗》比较贴切“作为普通用户来说，他们能意识到乱点链接是有危害的！但是实际上，很多时候，我们就算没有乱点链接，只是普通的上上网，看看别人发布的文章，甚至是某一篇感兴趣的日志，都是有可能成为受害者的。因此这一次，我们以一个 腾讯QQ空间日志功能上存在的XSS漏洞作为案例，进行了一个视频录制。很多人知道XSS，但是并不知道XSS攻击会有什么后果。还有另外一个用户对我们上一个视频的评论：“说准确点就是个反射的XSS 腾讯的cookies 是通用的，只要当事人 登陆过腾讯的任意业务，拿回来的cookies可以登录邮箱，QQ空间，微博，等等等等。。。。。。。只不过这个教程写的高端了一点而已！”这里想说的是，我们的视频并不强调XSS漏洞挖掘本身的技术含量，并不会纰漏技术细节；目的仅仅是让普通网民看到一个XSS可以有多么隐蔽，可以被用来做什么！","state":"published","sourceUrl":"","pageCommentsCount":0,"canComment":false,"snapshotUrl":"","slug":,"publishedTime":"T17:18:47+08:00","url":"/p/","title":"蛋糕背后的大灰狼 - 你是互联网上的那只小白兔吗？","summary":"首先上这一期新的视频： “当小白兔遇上大灰狼” (内容实际上是存储型XSS的危害演示)。 邪恶的大灰狼，在一篇看似很漂亮的日志里，插入了自己的恶意代码！这段恶意代码绕过了腾讯的过滤，可以成功窃取访问者的登录信息（cookies）! 大灰狼窃取了小白兔的coo…","reviewingCommentsCount":0,"meta":{"previous":null,"next":null},"commentPermission":"anyone","commentsCount":27,"likesCount":48},"next":{"isTitleImageFullScreen":false,"rating":"none","titleImage":"/50/56183ddc8e9baf6765b7eab44a2c688b_xl.jpg","links":{"comments":"/api/posts//comments"},"topics":[],"adminClosedComment":false,"href":"/api/posts/","excerptTitle":"","author":{"bio":"理想是狗屁","isFollowing":false,"hash":"cc137b49adb8e5e154dd23ba7820d93b","uid":24,"isOrg":false,"slug":"tong-fei-61","isFollowed":false,"description":"生物信息学、植物生殖发育、分子生物学；前端开发及安全；gainover@pkav；；","name":"童斐","profileUrl":"/people/tong-fei-61","avatar":{"id":"fc992e71c881d2acf5ab97a","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false},"column":{"slug":"pkavsec","name":"PKAV 技术宅"},"content":"
如果说 web 渗透测试是所谓的\"奇技淫巧\",那 XSS 更算得上是旁门左道了.当然,在黑哥放下他手中的手术刀时,这论调早已不攻自破.诚然,遑论博浪椎抑或鱼肠剑,能干掉目标才重要,不是吗? 如今 XSS 已经慢慢从难登大雅之堂变成主流攻击手法之一,可很多人对 XSS 危害的认识还停留在 alert(\"xss\") 上.鉴于此,我们准备了这次比赛,一方面是想让 XSS 技术更为人所知,另一方面也是想给研究的朋友们一个互相切磋学习的平台.技术无止境,希望你能在比赛中学到东西,也能教会我们一些东西.
----双螺旋攻防实验室 Only_guest比赛规则：地址：形式：在线解题时间： 20:00 到
20:00资格：任意 个人 / 团队排名：采用积分制，越高越靠前规则：Less is more （浏览器支持程度、向量长度）比赛奖励：本次比赛获得了来自X商业银行，PPTV以及腾讯安全应急响应中心的赞助，奖品丰厚。以下是一些奖品图：豪华猥琐流套装：Ipad mini & Ipad 4PPTV产品爱国者移动电源","state":"published","sourceUrl":"","pageCommentsCount":0,"canComment":false,"snapshotUrl":"","slug":,"publishedTime":"T12:16:50+08:00","url":"/p/","title":"无声杯XSS挑战赛","summary":"如果说 web 渗透测试是所谓的\"奇技淫巧\",那 XSS 更算得上是旁门左道了.当然,在黑哥放下他手中的手术刀时,这论调早已不攻自破.诚然,遑论博浪椎抑或鱼肠剑,能干掉目标才重要,不是吗? 如今 XSS 已经慢慢从难登大雅之堂变成主流攻击手法之一,可很多人对 XSS 危…","reviewingCommentsCount":0,"meta":{"previous":null,"next":null},"commentPermission":"anyone","commentsCount":13,"likesCount":34}},"annotationDetail":null,"commentsCount":27,"likesCount":209,"FULLINFO":true}},"User":{"tong-fei-61":{"isFollowed":false,"name":"童斐","headline":"生物信息学、植物生殖发育、分子生物学；前端开发及安全；gainover@pkav；；","avatarUrl":"/fc992e71c881d2acf5ab97a_s.jpg","isFollowing":false,"type":"people","slug":"tong-fei-61","bio":"理想是狗屁","hash":"cc137b49adb8e5e154dd23ba7820d93b","uid":24,"isOrg":false,"description":"生物信息学、植物生殖发育、分子生物学；前端开发及安全；gainover@pkav；；","profileUrl":"/people/tong-fei-61","avatar":{"id":"fc992e71c881d2acf5ab97a","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false,"badge":{"identity":null,"bestAnswerer":null}}},"Comment":{},"favlists":{}},"me":{},"global":{},"columns":{"next":{},"pkavsec":{"following":false,"canManage":false,"href":"/api/columns/pkavsec","name":"PKAV 技术宅","creator":{"slug":"____"},"url":"/pkavsec","slug":"pkavsec","avatar":{"id":"","template":"/{id}_{size}.jpg"}}},"columnPosts":{},"columnSettings":{"colomnAuthor":[],"uploadAvatarDetails":"","contributeRequests":[],"contributeRequestsTotalCount":0,"inviteAuthor":""},"postComments":{},"postReviewComments":{"comments":[],"newComments":[],"hasMore":true},"favlistsByUser":{},"favlistRelations":{},"promotions":{},"switches":{"couldAddVideo":false},"draft":{"titleImage":"","titleImageSize":{},"isTitleImageFullScreen":false,"canTitleImageFullScreen":false,"title":"","titleImageUploading":false,"error":"","content":"","draftLoading":false,"globalLoading":false,"pendingVideo":{"resource":null,"error":null}},"drafts":{"draftsList":[],"next":{}},"config":{"userNotBindPhoneTipString":{}},"recommendPosts":{"articleRecommendations":[],"columnRecommendations":[]},"env":{"isAppView":false,"appViewConfig":{"content_padding_top":128,"content_padding_bottom":56,"content_padding_left":16,"content_padding_right":16,"title_font_size":22,"body_font_size":16,"is_dark_theme":false,"can_auto_load_image":true,"app_info":"OS=iOS"},"isApp":false},"sys":{}}}