通过传说中的某东QQ设置码,谈QQ支付系统安全性分析及防范措施

已于 2025-07-17 16:37:46 修改
阅读量1.3k 收藏 9
点赞数 17
CC 4.0 BY-SA版权
文章标签: 算法 安全 ios
于 2025-02-22 23:13:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/braintrust2003/article/details/145802380

背景分析

最近在进行移动支付安全研究时,有人跟我说外面流传着一种qq设置码让我研究下,然后就发现了一个关于QQ支付的有趣技术案例。通过逆向工程和网络分析,我们发现了一些值得关注的安全隐患。

技术发现

逆向分析

下单,付款,发现竟然没有qq支付。
使用jadx-gui对Android应用进行反编译分析,然后我们在支付流程中发现了关键的tokenId生成机制。这些tokenId通常呈现以下特征:

  • 前缀模式:6M5M 开头
  • 具有固定的格式和长度
  • 在应用层面可被提取和重构

抓取到的关键数据:
在这里插入图片描述

支付URL构造

分析发现支付URL存在两种构造模式:
https://qpay.qq.com/qr/{tokenId}
https://myun.tenpay.com/mqq/pay/qrcode.html?_wv=1027&_bid=2183&t={tokenId}

2025年5月 经此方法已行不通,最新构造我就不说了,还是很简单的,只是要的参数更多了。一个tokenid是不够的。

通过网络流量分析发现,第一个URL会通过HTTP 302重定向到第二个URL,说明这是一个标准的支付流程重定向机制。

最后我们再通过二维码生成库,把上述链接转化成二维码即可。

潜在安全风险

中间人攻击风险

当前网络上流传的qq设置码方法中,均通过安装自签名证书来抓包拦截进行HTTPS解密,这种做法主要利用该电商种的安全隐患:

  • 证书信任链被破坏
  • HTTPS加密通道易被监听
  • 敏感支付信息的泄露

TokenId暴露风险

  • tokenId可被提取和重用
  • 支付流程可被重放
  • 缺乏有效的防重放机制

安全建议

安全加固方案

应用层

  • 实现应用完整性校验
  • 防止Root/越狱设备运行
  • 敏感信息加密存储
  • 内存数据及时清理

传输层

  • 实现双向认证
  • 传输数据加密
  • 防重放攻击设计

服务端

  • 限流策略
  • 黑名单机制
  • 交易监控

针对支付平台

  • 实现严格的TokenId有效期管理
  • 引入动态令牌机制
  • 实施请求签名验证
  • 加强支付流程的完整性校验
  • 通过更有效的手段,防治中间人攻击

针对移动应用

  • 实现证书锁定(Certificate Pinning)
  • 加强应用加固保护
  • 实现代码混淆和反调试机制
  • 引入设备指纹机制

针对该电商系统

实现严格的订单状态管理

javaCopypublic class OrderManager {
    public void validateOrder(String orderId, String tokenId) {
        // 实现订单有效性验证
        // 检查订单状态
        // 验证tokenId合法性
    }
}

引入风控系统

javaCopypublic class RiskControl {
    public boolean detectAbnormalPayment(PaymentRequest request) {
        // 实现支付异常检测
        // 检查支付频率
        // 验证设备指纹
        return false;
    }
}

public class SecurityManager {
    public void validateTransaction(Transaction tx) {
        // 交易金额异常检测
        // 交易时间合理性验证
        // 交易地理位置异常检测
        // 设备指纹校验
        // 交易频率控制
    }
}

加强API安全性

// 添加SSL Pinning示例
public class SSLPinningManager {
    private static final String[] VALID_PINS = {
        "sha256/XXXX=", // 替换为实际的证书指纹
    };
    
    public void validatePinning(Certificate cert) {
        // 实现证书链验证
        // 实现证书指纹对比
    }
}
javaCopypublic class APISecurityFilter {
    public void doFilter(Request request, Response response) {
        // 实现请求防重放
        // 验证请求签名
        // 检查请求时间戳
    }
}

架构优化建议:

  • 引入零信任架构
  • 采用多因素认证
  • 实现交易行为分析
  • 建立安全事件响应机制

结论

支付安全是一个持续演进的话题,需要从多个层面构建纵深防御体系。作为支付参与方,应该持续关注新的安全威胁,并不断完善安全防护措施。

建议大家进一步阅读参考

  • OWASP Mobile Security Testing Guide
  • Android Security Internals
  • Payment Card Industry Data Security Standard (PCI DSS)

免责声明:本文仅用于安全研究和技术讨论,请勿用于非法用途。
技术交流可联系我 dGcgQGludm9rZXlvdQ== (base64)

某讯QQ钱包转账付款算法分析
2403_87731058的博客
11-27 1023
找到了它的关键代,就需要对它进行算法的还原,具体它postdata数据是如何构造的,它的每个参数含义就暂时不往回追溯,根据当前的encypt函数,继续往下阅读,但因为代是无法正常翻译成java,只能通过阅读class的原生指令。这里直接对它进行HOOK,我使用的是frida(雷电4模拟器环境),我们对这个signEncdata函数进行分析它具体的传参,根据代过程大概判断出,str是URL,剩余2个,拭目以待。看到此处,它判断的这3个URL接口名称,恰是支付的,估计是它排除掉不是它的接口。
聚合支付里各扫支付的返回报文样例
weixin_34253126的博客
11-02 1873
qq返回url: https://myun.tenpay.com/mqq/pay/qrcode.html?_wv=1027&_bid=2183&t=6V1118c62c2a8a9679cfafa84b9567ba 支付宝扫返回url: https://qr.alipay.com/bax06084wth0qnixjrfu803c 微信扫返回url: weixin:/...
二维登陆过程分析
weixin_30449239的博客
01-23 344
以pay.qq.com查询QQ账号Q币信息为例,了解一下网站的二维登陆大致是如何实现的 首先打开腾讯pay.qq.com主页上的登陆就可以获取到二维了,使用浏览器的F12分析请求过程 发现通过打开的https://xui.ptlogin2.qq.com/cgi-bin/xlogin?appid=11000101&target=self&style=40&s_ur...
微信支付 start
iteye_7017的博客
05-19 145
QQ提供了比较完善的开发文档 https://pay.weixin.qq.com/index.php/home/login?return_url=%2F   里面有各种支付方式    
Android-qq钱包支付集成
guojiel的博客
06-17 3657
玩耍androidQQ钱包支付
iapp跳转QQ支付界面
qq_45566212的博客
10-03 2539
s qqpay="mqqapi://forward/url?url_prefix=aHR0cHM6Ly9pLnFpYW5iYW8ucXEuY29tL3dhbGxldC9yZWNoYXJnZS9kaXN0L20vaW5kZXhfdjQuaHRtbD9fd3Y9MTAzMSZzb3VyY2U9c25nXzEwODgwMSZwdnNyYz0xMTImcGF5Q2hhbm5lbD13YWxsZXRfaWNvbiZfdmFjZj1xdw==&version=1&src_type=web" sit(a,
个人QQ免签,实现QQ收款
qq_44471939的博客
12-27 585
仅供研究学习使用。 首先你可以不用电脑抓包,貌似腾讯有个网站可以实现类似控制台玩意 首先去 http://debugx5.qq.com(必须在QQ内打开) 点开信息 再打开那个调试功能,退出重新进入,就会右下角会出现一个类似控制台按钮 接着点开 我的钱包,再点开我的余额右上角有个交易记录 进入之后,点击又上角筛选,再点击转账,会刷新一下数据,此时再去点击那个调试按钮会多出来一条,以json格式返回订单数据列表 不知道请求地址,可以用利用JSwindow.loc
php 实现 qq钱包支付
qq_28461727的博客
09-30 1525
网上关于 qq钱包支付服务端(php) 的资料很少,特来记录下 qq接口通道,https://qpay.qq.com/buss/wiki/38/1203 下面直接贴 封装好的代, <?php namespace QQPay; class QQPay { const API_URL_PREFIX = 'https://qpay.qq.com'; //接口API URL前缀 const UNIFIEDORDER_URL = "/cg...
看不见的硝烟:中国网络安全三十年
最新发布
u013669912的博客
08-01 1485
网络安全工程师面试题整理
m0_67393686的博客
07-30 7688
网络发现和安全审计工具主机发现端口扫描应用程序和版本探测操作系统探测-p指定端口扫描-sTtcp扫描-sPping扫描-Pn不进行ping扫描-o操作系统探测。
最全面、最详细web前端面试题及答案总结
热门推荐
HanXiaoXi_yeal的博客
02-01 3万+
2021最全面、最详细web前端面试题及答案总结 总结不易,希望可以帮助到即将面试或还在学习中的web前端小伙伴,祝面试顺利,拿高薪! 本章是HTML考点的⾮重难点,因此我们采⽤简略回答的⽅式进⾏撰写,所以不会有太多详细的解释。我们约定,每个问题后我们标记『✨ 』的为⾼频⾯试题 doctype的作⽤是什么?✨ DOCTYPE是html5标准⽹⻚声明,且必须声明在HTML⽂档的第⼀⾏。来告知浏览器的解析器⽤什么⽂档标准解析这个 ⽂档,不同的渲染模式会影响到浏览器对于 CSS 代甚⾄ JavaScript
红队专题-漏洞挖掘-代审计
aming小老弟
03-11 1224
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代,并发出一个请求要求访问第三方站点 A。
一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版
chinghoi's blog
06-15 3115
前言:       随着信息科技的迅速发展,Internet已经成为全球最重要的信息传播工具。当人们在享受网络为我们的工作、生活带来方便和效率的同时,但它们潜在地也带来了安全问题。据统计,凡是刚开始接触过互联网的人,大部分人都或多或少的被入侵、恶意攻击过,并且安全威胁事件逐年上升。可见黑客如此猖獗,应该采取什么手段来防止黑客入侵是大家普遍关心的问题。 长期以来,最为严重的安全威胁就是恶意程序。
手Q支付QQ钱包)
刘庆付的博客
12-13 8909
之前做过腾讯的微信支付,刚开始以为会跟微信支付一样的那,虽然说不是完全相同吧,但也是大同小异,废话不多说上代~~ 1.DEMO 这个是代样例,我们用来做支付用的是payRequest.php文件,里面有支付得接口,而payNotifyUrl.php是回调的接口,clientRefund.php是退款接口(一般不涉及退款不用考虑开发这个接口) 2.支付接口$token_id="";
android qq钱包接入,QQ
weixin_30981569的博客
05-28 1366
SDK(Android)开发前准备:商户需要具备以下条件才接入QQ钱包支付:1、申请QQ钱包商户号:商户可以在QQ钱包商户平台自助申请:https://qpay.qq.com/;2、提交APP信息审核:商户需登录QQ钱包商户平台,在“账户管理--开发配置--APP支付”一栏,提交APP支付信息审核。审核通过后,才能正常调用SDK拉起支付。SDK说明1、SDK和开发文档的“libs”目录存放“mqq...
QQ第三方登录(itsdangerous生成激活token)
Spencer_q的博客
08-24 4236
一.成为QQ互联的开发者 注册链接:http://wiki.connect.qq.com/%E6%88%90%E4%B8%BA%E5%BC%80%E5%8F%91%E8%80%85 等个3-5 天的工作日审核,审核通过就称为一个开发者了 二.创建应用 在应用管理中创建一个应用,得到APPID 填写相关资料,审核通过得到APPKEY,记录之前的回调地址 三.项目实现 浏览器--&gt;...
学习笔记——RSA加密&签名
娜娜米的博客
08-12 2553
前后端请求,内容涉及用户信息时一般会要求对数据进行加密;对于支付系统的接口,为了保证参数不被篡改(如订单金额、支付单号等),需要对下单参数进行签名;本篇介绍RSA相关的知识以及应用场景,包括:对称加密和非对称加密、RSA原理简介、加密和签名的区别以及RSA加密算法的代示例;...
QQ公众号支付JSAPI唤起支付
u010612373的博客
10-24 2635
公众号支付是用户在手机QQ中打开商户的H5页面,商户在H5页面通过调用QQ钱包提供的JSAPI接口调起QQ钱包支付模块完成支付支付流程及API参考官方文档:https://qpay.qq.com/buss/wiki/38/1200 页面唤起支付如下: &lt;body onload="pay();"&gt; &lt;script type="application/javascri...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

自学不成才

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值