微信支付混淆

1. 現在微信支付越來越普及，你知道嗎

吃飯、購物、外出……
無論什麼場景
都可以一碼搞定
然而正是大家每天都使用到的
二維碼也暗藏貓膩
▼
買家注意：提前打開付款二維碼被盜刷
市民王女士在一家店鋪排隊買青團時，發現自己被扣款980元。和店員核對後發覺情況有異，立即報警。警方調取監控後發現，在王女士打開手機付款碼時，身後一名男子偷偷用手機掃了她的付款碼。據了解，嫌疑人柳某安裝了一款能掃描他人付款碼的手機軟體，便瞄準了排隊的顧客，趁對方不注意時作案。

警方提醒：留意身邊的可疑人員，不要過早打開付款碼頁面，更不要暴露給旁人，並及時關閉手機的免密支付功能。
除了消費者
商家也要注意這些掃碼陷阱！
▼
賣家注意：佯裝付款實則跑路
市 民李先生在車站附近經營了一家便利店，近日，一名年輕男子進店找他協商換錢，原來，該男子自稱要去參加宴席，無奈身上沒帶夠現金，想通過微信掃碼的方式與李先生置換一下。李先生聽男子言辭懇切，便從櫃台里拿了500元現金給他，男子隨即掏出手機掃描店裡的收款二維碼。李先生見他已掃碼便沒多加註意，忙著打點貨物，當他再轉過身來時，男子早已不見蹤影，查看微信後發現自己根本沒有收到轉賬。李先生這才發現被騙，隨即報警。
警方提醒：商家可以開啟到賬語音提示，及時查看手機，確認錢款是否到賬，避免造成財產損失。
▼
賣家注意：注冊高仿號虛假付款
市民汪某在網吧聲稱要辦卡，並通過微信掃碼支付了100元費用。但當天店員清點時發現少了100元，查看監控後發現汪某很可疑，隨即報警。警方調查後發現汪某用另一部手機注冊了小號，並冒用了網吧的微信名和頭像，隨後在付款時向其轉錢，向店員展示時矇混過關。
警方提醒：不 要只看對方提供的轉賬頁面，及時查看自己的賬戶核實。
▼
賣家注意：PS付款成功圖片
店主王女士報警稱有三位男子來店裡買香煙，隨後掃碼付款，並向王女士出示了付款信息的圖片，但王女士一直沒收到此筆錢款。警方調查後發現，不法分子前期踩點進入店中，掃碼獲取店主賬戶信息，隨後將自己賬號的昵稱和頭像修改成與店主一致，並使用PS提前偽造付款成功的頁面。
警方提醒： 轉賬付款成功的圖片不可信，一定要收到到賬信息才能確認到賬。
▼
賣家注意：客戶索要你的「付款碼」
市民朱女士是一家面條店的收銀員，近日，店裡接到了一個訂餐電話，對方自稱是老顧客，聯系老闆後對方給了這個電話。朱女士信以為真，幫其下單了214元的餐品。
詢問怎麼付款時，對方表示現在無法掃碼支付，但可以把錢轉付給朱女士，隨後讓她打開支付寶的付款二維碼，並報出下方的18位數字，對方稱自己將會把214元通過「付款碼」的方式進行支付。朱女士照做後對方卻一直聲稱網路不好，無法支付成功，要求她刷新後重新報數，反復七次後才完成付款。然而朱女士遲遲沒有收到這筆餐費，查詢賬單後卻發現剛才竟有7筆消費記錄，回撥對方電話始終無人接聽，隨即報警求助。
▼
套路分析
一、混淆「付款碼」概念
此起案件中不法分子表述的「付款碼」含義是「被他人付款」，相當於收錢，但實際上「付款碼」的含義是「向他人付款」，也就是付錢。
二、利用受害人不熟悉18位數字的原理
因為付款碼是由二維碼+條形碼+18位數字組成，只需任意一項就可刷走你的錢。在上文的案例中，不法分子就是索要了這18位數字進行扣款。
搜索條形碼生成器即可出現大量網頁
點擊任意一個網頁後輸入付款碼數字

立即出現對應的條形碼
而這個條形碼和支付寶上的一模一樣
也就是說

有了這18位數字=有了你的付款碼
只需使用商家專用的掃碼槍
即可刷取相應的金額
三、利用小額免密支付功能
現在很多支付軟體都默認1000元以下免密支付，不需要輸入密碼就可以付款。很多不法分子為了不讓受害人識破騙局，便會扣取1000元以下的金額，這樣就不會需要對方輸入付款密碼，大大降低了受害人的戒備。
四、利用定時刷新功能
由於免密支付的額度限制，不法分子為了騙取更多錢，便會以數字失效（付款碼僅在短時間內有效）、信號弱為由，讓受害人多次匯報18位付款碼，每報一次就會多扣一次。在上文的案例中，不法分子就是以此向朱女士索要了7次付款碼數字。
▼
付款安全如何保障？
保護好自己的付款碼、關閉不需要的免密支付是關鍵。
目前，大家使用頻率較高的免密支付，大多是通過微信支付或支付寶等第三方支付平台來扣費的。

1.微信平台在微信付款碼頁面有相關使用說明
「開通微信支付付款碼服務後，付款金額不足1000元（在商戶列表中的商戶消費時，單筆付款金額不足3000元）的交易，無需驗證支付密碼或其他交易指令驗證要素，超額需要驗證支付密碼。」
而此種免密支付是無法自行取消的
但可以解約微信綁定的其他免密支付項目
操作方法：登錄微信——點擊底部菜單【我】——【支付】——點擊右上角的【···】——【自動扣費】，其中會列明所有自動扣費的服務，如不需要可選擇關閉服務即可。

2.支付寶平台
登錄支付寶——點擊【我的】——右上角【設置】——【支付設置】——【免密支付/自動扣款】。
點擊關閉支付寶內付款碼的免密支付時

會跳出對話框詢問你
是否開啟登錄解鎖功能
或暫停使用此功能
所以也是無法直接關閉付款碼的免密支付功能
但可以解約支付寶綁定的其他免密支付項目
操作方法：登錄支付寶——點擊【我的】——右上角【設置】——【支付設置】——【免密支付/自動扣款】。下方可以查看與免密支付簽約的其他軟體，點擊即可選擇是否需要關閉。
轉發！提醒所有人！
-end-
｜內容來源：南京公安
｜版權歸原作者所有，如有侵權請聯系刪除
▼

廣西醫科大學研製
牡蠣珍珠護膚滋潤面膜
搶鮮價：108元
買2送1，買3送2

可先試用外贈的兩片體驗裝
若感覺不合適個人
廣西區域內范圍
可在7日內申請全額退貨
即可瀏覽產品詳情
搶先購買特價套餐
點個「在看」

2. 微信支付密碼原始密碼是什麼

微信支付是沒有初始密碼，你首次登錄就已經讓你改成你自己的了。

微信支付在開通的時候，是強制設置密碼的，不設置密碼無法開通，因此沒有統一的初始密碼。

密碼是一種用來混淆的技術，使用者希望將正常的（可識別的）信息轉變為無法識別的信息。但這種無法識別的信息部分是可以再加工並恢復和破解的。密碼在中文裡是「口令」（password）的通稱。

(2)微信支付混淆擴展閱讀

微信（WeChat）是騰訊公司於2011年1月21日推出的一個為智能終端提供即時通訊服務的免費應用程序，由張小龍所帶領的騰訊廣州研發中心產品團隊打造。微信支持跨通信運營商、跨操作系統平台通過網路快速發送免費（需消耗少量網路流量）語音簡訊、視頻、圖片和文字。

微信提供公眾平台、朋友圈、消息推送等功能，用戶可以通過「搖一搖」、「搜索號碼」、「附近的人」、掃二維碼方式添加好友和關注公眾平台，同時微信將內容分享給好友以及將用戶看到的精彩內容分享到微信朋友圈。

3. 微信多少限額 三類賬戶，微信支付一年限額20萬

微信多少限額？據悉微信官方：三類賬戶，微信支付一年限額20萬，其中包括消費、支付、轉賬等等。

開通微眾銀行：微信支付一年限額可提升到50萬。

銀行卡：各銀行每年轉賬限額不同。

我們平時說的微信限額，都是指的微信支付限額，當微信支付限額以後將不可以使用微信零錢支付的功能。但是微信轉賬這個功能，雖然也受這個限額的影響，但是一年的轉賬限額卻不受限制。下面給大家來舉例說明。

王小姐微信支付限額20萬用完以後，開通了微眾銀行，成功將一年的支付限額提升到了50萬。這樣又多出了可以使用零錢、零錢通進行轉賬的30萬額度。然後王小姐平時習慣於用農業銀行卡進行微信轉賬，雖然一天最多隻可以轉賬2萬元，但是月轉賬額度沒有上限。那麼一年下來，就以2萬*365天計算，王小姐一年可以使用銀行卡轉賬730萬元，微信零錢、零錢通轉賬30萬元。

如果王小姐再多綁定幾張銀行卡，那麼微信一年轉賬限額就根本沒有上限了。一個微信賬戶最多可以綁定10張銀行卡，只要其他銀行卡的支付限額超過農業銀行卡，可以說一年轉賬金額上億都是可以的。

大家平時不要將支付限額與轉賬限額弄混淆，微信一年轉賬限額基本是沒有上限的，前提是你得有那麼多錢以及綁定了10張銀行卡。

4. android 微信支付怎麼混淆

關於微信上Android和IOS表現不一致的問題 我現在發現兩個 已經全部解決了 喜極而泣……

第一個關於支付 為什麼Android上面能支付而IOS上就不行了呢？

問題在於支付的時候jsON參數，必須全部是字元串（這個是我沒有好好閱讀文檔，自以為Android上面可以支付了就一定不是我的問題，我認了）。

比如我的錯誤是參數中{"timeStamp":12312312}，時間戳的值為整型，雖然Android上可以支付，但是IOS上就不行了，必須嚴格按文檔上說的，鍵和值全部是字元串！這樣{"timeStamp":"12312312"}才對！

第二個問題就有點不能理解了，Android上可以正確獲取用戶的收貨地址，但是IOS上面會報err_msg:get_brand_grant_info:fail,err_desc:no authorized buffer empty

這個提示讓人摸不著頭腦了。後來我是怎麼解決的呢？根據我幾個星期Or一兩個月之前的一次谷歌搜索上依稀記得好像某個參數的長度不能太長……

我看了下收貨地址參數中的一個隨機數，我用了32位，這樣是不是太長了呢（對於IOS來說），於是我改成了12位長度，問題解決，歐了……文檔上關於這個隨機數的長度沒有任何說明

5. 微信上訂酒店的客服同時付兩次款,打電話到哪裡問

打酒店的電話就可以了，反正你肯定是要去那個酒店去住的，到那裡之後讓前台查一下，找前台不行的話就找付款平台的客服

6. 開放平台API介面安全性設計——微信支付為例

API介面，類似 http://mypay.com/refund/order_id=123&mch_id=123 ，這個請求我以商戶mch_id=123的身份給訂單號為order_id=123退款，如果伺服器不辯別請求發起者的身份直接做相應的操作，那是及其危險的。

一般的，在PC端，我們是通過加密的cookie來做會員的辨識和維持會話的；但是cookie是屬於瀏覽器的本地存儲功能。APP端不能用，所以我們得通過token參數來辨識會員；而這個token該如何處理呢？
延伸開來，介面的安全性主要圍繞Token、Timestamp和Sign三個機制展開設計，保證介面的數據不會被篡改和重復調用。

一般來說，在前端對數據做加密或者前面，是不現實的。前後端使用HTTP協議進行交互的時候，由於HTTP報文為明文，所以通常情況下對於比較敏感的信息可以通過在前端加密，然後在後端解密實現"混淆"的效果，避免在傳輸過程中敏感信息的泄露（如，密碼，證件信息等）。不過前端加密只能保證傳輸過程中信息是『混淆』過的，對於高手來說，打個debugger，照樣可以獲取到數據，並不安全，所謂的前端加密只是稍微增加了攻擊者的成本，並不能保證真正的安全。即使你說在前端做了RSA公鑰加密，也很有可能被高手獲取到公鑰，並使用該公鑰加密數據後發給服務端，所以務必認為前端的數據是不可靠的，服務端要加以辯別。敏感信息建議上https。

所以一般建議上https，敏感信息md5混淆，前端不傳輸金額欄位，而是傳遞商品id，後端取商品id對應的金額，將金額等參數加簽名發送到支付系統。金額可以是明文的。

token授權機制 ：用戶使用用戶名密碼登錄後，後台給客戶端返回一個token（通常是UUID），並將Token-UserId鍵值對存儲在redis中，以後客戶端每次請求帶上token，服務端獲取到對應的UserId進行操作。如果Token不存在，說明請求無效。
弊端 ：token可以被抓包獲取，無法預防MITM中間人攻擊

用戶每次請求都帶上當前時間的時間戳timestamp，伺服器收到請求後對比時間差，超過一定時長（如5分鍾），則認為請求失效。時間戳超時機制是防禦DOS攻擊的有效手段。

將token，timestamp等其他參數以字典序排序，再加上一個客戶端私密的唯一id（這種一般做在服務端，前端無法安全保存這個id）或使用私鑰簽名，將前面的字元串做MD5等加密，作為sign參數傳遞給服務端。

地球上最重要的加密演算法：非對稱加密的RSA演算法。公鑰加密的數據，可以用私鑰解密；私鑰簽名（加密）的數據，可以用公鑰驗簽。

RSA原理是對極大整數做因數分解，以下摘自維基網路。

暫時比較忙沒時間，將於7月29日晚更新。
來更新啦。
微信支付安全規范，可以查看官方文檔 https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=4_3
第1點中，其簽名演算法最重要的一步，是在最後拼接了商戶私密的API密鑰，然後通過md5生成簽名，這時即使金額是明文也是安全的，如果有人獲取並修改了金額，但是簽名欄位他是無法偽造的，因為他無法知道商戶的API密鑰。當然，除了微信支付的拼接API生成簽名的方法，我們也可以通過java自帶的security包進行私鑰簽名。其中nonce隨機字元串，微信支付應該做了校驗，可以防止重放攻擊，保證一次請求有效，如果nonce在微信支付那邊已經存在，說明該請求已執行過，拒絕執行該請求。

阮一峰老師的博客-RSA演算法原理： http://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html
維基網路： https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

7. 微信支付密碼修改了為什麼支付寶付不了錢

微信支付密碼修改了支付寶付不了錢的原因是：密碼混淆。根據查詢相關資料顯示微信支付密碼、支付寶登錄密碼是不同的密碼，注意區分，支付寶有兩個密碼一個是登錄密碼，另一個是支付密碼，付款時應該輸入的是支付密碼不是登錄的密碼也會顯示密碼錯誤，要記住自己的支付寶支付密碼，而微信支付密碼是跟支付寶不同的。

8. android 微信支付怎麼混淆

乘客在微信里「我的銀行卡」界面中進入「嘀嘀打車」，輸入並發送打車要去的地點； 附近司機接單成功後，雙方之間的交易就建立。此時界面中會顯示，司機距離乘客位置的時間； 乘客上車後點擊「已上車」，會看到使用微信付車費的提示； 在下車前，乘客手動輸入計價器顯示的金額，會進入微信支付界面，成功輸入支付密碼後，車費就會打入嘀嘀打車賬戶中；此時，司機也會收到獲取打車費的通知。司機進入嘀嘀打車應用中輸入轉賬的銀行卡，就可以對此次的打車費進行提現。