關注

global.udn.com/global_vision/s

這漏洞也太大。

標榜「簡單操作、輕鬆登入」的7pay系統,在用戶密碼查詢時缺乏雙重步驟的驗證機制(例如需要註冊的手機電話驗證),只需要填入用戶email和生日即可,其中幾乎毫無防範機制的部分是:7pay用戶註冊時,生日會被系統預設為2019年1月1日且可以不必更改,而查詢密碼還可以填入另一個email信箱來收取密碼,密碼輸入錯誤時也不會封鎖登入,讓嫌犯有機可乘。

Sign in to participate in the conversation
g0v.social

be excellent to each other