全球工单 分享一个新的骗钱手段：利用“闲鱼-支付宝”的某些规则

顶级大厂顶级设计

问题是，支付宝会赔偿损失吗？🤔

@sillydaddy

> 如果这个交易号暴露给了卖家，那么卖家也可以作为发起人了

这是不可能的，已经有人做过验证了，如果是其他人的交易号，在你点击的时候（ AlipayJSBridge.call 后）就会弹窗提示（当前支付宝登录的账号和这个交易号对应的账号）不是同一用户，无法继续进行，说明支付宝是有验证的。

> 如果这个号是闲鱼在创建订单的时候生成的，那么这个号是否有必要暴露给买家和卖家呢？

闲鱼创建的编号是他自己商户平台订单号，支付宝会在创建订单时再生成一个交易号，这个交易号和商户订单号时相对应的（这两个编号在支付宝账单详情是可以看到的），闲鱼在他的平台上的用户订单中可以只展示 [商户订单号（买家 /卖家同时看到）] ，实际上闲鱼也是这样做的。

而这里的交易号是卖家在通过自己的支付宝账单来查找到的，这个交易号我前面就说过了，他的应用场景还有如：对账，退款等。


支付宝的场景是一个支付平台，而不是特定于某个平台去服务，他同时提供商户订单号和交易号这都是合理的。


在这里支付宝的问题是只关注了 [调起确认收货] ，而却没有验证是谁（来源）调起的。

---

我后面说的给订单加个状态来判断，这种实际上也是不合理的，因为还要考虑自动收货。

淘宝确认收货的时候不也要输入密码嘛

@Rache1
「如果这个交易号暴露给了卖家，那么卖家也可以作为发起人了」，我这里说的卖家作为发起人就是指主题里的那种诈骗手段：卖家诱骗买家确认收货。这也可以看作是卖家作为发起方吧。前提就是卖家有这个交易号。

我理解了你的意思是不是说，支付宝担保交易这种，从头到尾，也只有一个交易号，并且这个号同时被买家、闲鱼、卖家共享？担保交易相对于直接交易，多了一个中间状态，对于买家来说，是已付款待确认，而对于卖家来说则是已付款未收款。是这样吗？

如果是这样，交易号是统一且共享的，那么是不适合作为 API 的参数来用的，比如对于买家来说确认收货的 API 。支付宝完全可以针对每一个交易号，再产生一个对应的确认收货号，并且仅下发给闲鱼。然后闲鱼才可以使用这个收货号，在 App 中让买家发起确认收货的操作。由于这个确认收货号只会在交易过程中才使用，交易完毕可以废弃，所以不影响最终的交易结果和数据归档。就相当于是一个对应于某种操作权限的 token 。

@sobev #64 我看视频了，有开人脸识别的，直接识别就收货了。

像这样的国内平台明目张胆骗钱，讲道理不是应该可以马上抓起来吗？

顶级大厂，顶级设计！

这个漏洞并不是技术层面的 bug ，完全就是产品设计的缺陷。漏得如筛子一样，如此的无脑，以至于这么多年都没有被黑产发现，也是给足了支付宝面子了

为什么所有的 app 都必须要封装一个浏览器

md ，绝了

@sillydaddy
支付宝是一个第三方交易平台，它的交易流水号必须透明，做到两侧不一致是错误的。
假设 用户银行卡-支付宝-商户 这样一个流程，支付宝生成的流水号会提交给银行，用户在银行流水里能查到
同时流水也要提交给商户，这样用户在商户平台也能查到，两边流水一致才能证明这是同一笔交易行为
这个没有什么问题，目前通行的系统都是这么设计的。

基于以上设计，闲鱼其实是没毛病的，闲鱼通过支付宝的订单确认回调，得知用户已确认收货，执行放款。
换句话说，这个平台即使是其他商户（ pdd 或其他购物平台），一样也会中招。
所以支付宝大锅，对这种确认收货的行为没有做任何校验
闲鱼小锅，对扫码结果是 alipay:// 开头的协议直接放行，没有风险提示

@coolcoffee

这个才是核心的点：跨域调用没鉴权
我之前也被微信支付折腾的欲仙欲死，但是后来逐步理解其各种限制的目的了，支付宝这套可能做得比较早，当时没有这么多攻击的花样

@sillydaddy

> 支付宝完全可以针对每一个交易号，再产生一个对应的确认收货号

你说的这个方法也是算是一种解决办法，实际实施起来相较于现有的有些过于复杂了。其他人提到的，给 JSBridge 添加鉴权这种方案比较简单且可行的。

我刚刚测试了下已经修复了，会弹窗 [交易已付款，请勿重复支付]

感兴趣的把这个诈骗网站本地部署下把里面的交易号改成自己的就行了
http://kgnb763n.blogqt.gq/index.php

按理说，淘宝商家有可以钓鱼买家来确认收货（虽然没必要怎么干），接口应该都是统一的

@dcsite 这个现在修复了吗？

刚才复现了下，已经修复了

支付宝全责
1. deeplink 未做白名单
2. jsb 鉴权问题

@C47CH #62 好问题，等等看吧。
我猜一个不会，这样就承认自己有漏洞了，喊口号仅仅是为了让别人用自己的服务，真赔了会有负面影响