工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
这是一个创建于 3015 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://einvoicelink.51fapiao.cn:8181/FPFX/actions/ [ 45 哈希]
没有任何认证措施,可以下载任何人的发票
直接通过一个 hash 值就能下载,不怕别人穷举?
 |
1
scriptB0y 2017 年 10 月 16 日  3
45 位 hash 可能的数量有 10804695562359870518299193703899148848724015728610899282651377959960576L 种可能吧。
存放 100 万张发票,每次能碰对一张的概率是 100 / (36 ** 45) = 9.255235320869961e-65 如果上面这样算没错的话,感觉比密码强的多。 |
 |
2
eccstartup 2017 年 10 月 16 日 via iPhone
没觉得比密码强,尤其是有人知道了链接之后
|
|
3
scriptB0y 2017 年 10 月 16 日
什么叫有人知道了链接之后?
密码不也是用户名+密码的字符串吗? 这个长度不是比 hash 长度小的多? |
 |
4
wingcol 2017 年 10 月 16 日
@eccstartup 一般帐号+密码也就 30 位左右, 比这个弱多了
|
 |
5
wingoo 2017 年 10 月 16 日
51fapiao 应该是提供开取 /读取发票接口的公司
看了下 典型客户 京东, 苏宁, 阿里, 百度, 亚马逊, 国美,中移动.... |
 |
6
xmcp 2017 年 10 月 16 日 via iPhone
按你这么说 RSA 还有漏洞呢。
16^45 比你想像中的要大,少年。 |
 |
7
laoyur 2017 年 10 月 16 日
https + 45 位 hash,对于一个对公共服务的发票接口,没毛病
|
|
8
eccstartup 2017 年 10 月 16 日 via iPhone
@wingcol 有试错次数限制啊
|
|
9
laoyur 2017 年 10 月 16 日
补一句,别提穷举,防穷举跟 https + 45 位 hash 本身没有关系
楼主你要是挑刺的话,先去单 ip 穷举 10w 次,如果没把你封掉,再来喷不迟 |
 |
10
moult 2017 年 10 月 16 日 via iPhone
楼主要是这都能随便输一个就能命中,那就去买彩票把,彩票的数字短多了。
|
 |
11
trydie 2017 年 10 月 16 日
哈希前是什么内容?自增 int 吗?
|
|
12
scriptB0y 2017 年 10 月 16 日
google 很多产品 forms,drive 分享等都可以用“知道链接就可以编辑”这种原则。
|
 |
13
yuanfnadi 2017 年 10 月 16 日 1
能命中的概率比中彩票还小。
|
 |
14
run2 2017 年 10 月 16 日
这个就算是锅也是 51fapiao 的锅-。-
|
 |
15
icanfork 2017 年 10 月 16 日
哈哈哈,大家不要这样,楼主等下不敢回复了
确实安全性还是可以的。 |
 |
16
xfspace 2017 年 10 月 16 日
发票已经开出了。。。税务信息又不能改。。。如果开的个人发票 也就看到姓名
|
 |
17
ryannnnn 2017 年 10 月 16 日
非得再让你注册个 51fp 的账号你就满意了是吧?
|
 |
18
noNOno 2017 年 10 月 16 日
哈哈哈,扎心了
|
 |
19
juneszh 2017 年 10 月 16 日
年少轻狂
|
 |
20
shmilypeter 2017 年 10 月 16 日
那还真不是苏宁的锅,国内目前在推电子发票,这个是 51fapiao 的。你看看 12306 做得什么样就知道这个平台怎么样了。
|
 |
21
wucao219101 2017 年 10 月 16 日
一般人的账户+密码长度不会超过 45 位吧,那么能穷举 45 位哈希还不如穷举账户+密码。
|
 |
22
102400 2017 年 10 月 16 日
没搞清楚状况就出来喷,现在怎么这么多喷子
|
 |
23
wormcy 2017 年 10 月 16 日 via Android
把前 25 位当成用户名,后 20 位当成密码,你就发现太良心了
|
 |
24
wooyuntest 2017 年 10 月 17 日
啊哈哈哈哈哈
|
 |
25
wymeteor 2017 年 10 月 17 日
这电子发票你下载了有啥用,又不是你的,我就不信你公司财务还能给你报账不成
|
 |
26
niceworld 2017 年 10 月 17 日
哈哈...虽然不友善,不过还是想说你是想笑死我好继承我的花呗么
|
Select Language