支付寶口令紅包漏洞的驗證

今天筆者比較無聊，或者說支付寶客服沒有給出滿意的答覆（固執），筆者認為支付寶口令紅包有缺陷，讓不法分子非法獲利了，但是支付寶不承認，且不願意修補漏洞。受限於筆者並非電腦專業出身，

無法開發相關的程式、軟體直接來攻擊支付寶口令紅包的漏洞，雖然我非常想這麼做。

但是，筆者有理論知識，可以通過證據羅列、合理推斷，驗證出是否存在異常。

筆者將3月29號第一次發現口令紅包領取異常後，將領取紅包的用戶名和大致帳戶（無法看到全部帳戶名）都羅列出來了，如下圖：

其中的一些資訊各位應該能夠看明白，我已經用顏色標注出來了。

同樣的，我再將7月13號，19秒鐘搶完100的口令紅包資料羅列如下：

兩幅圖各位對比下可以同時發現，不僅用戶昵稱有重複的，帳戶名更是有大批相似度很高的，大概率是批量註冊的。如果僅僅通過上述兩次間隔超過3個月的口令紅包分別展現出的帳戶名，

你已經發現每一批次裡面都有很多相似度很高的帳戶。如果將二者聯繫起來，將展現出更加令人震驚的一面。

我將搶第二次口令紅包的帳戶和搶第一次紅包的帳戶進行對比，發現搶了第一次紅包的43個帳戶中，有34個領取了第二次口令紅包。

也就是說第一次搶紅包的帳戶中至少79%（34/43）的帳戶有專業搶紅包的嫌疑。

因此，我們可以看到，每次領取口令紅包的帳戶中存在大量批次註冊的帳戶；在不同次領取口令紅包的過程中，有大量帳戶多次重複出現。所以，即使剔除紅包口令的不可控性，支付寶口令紅包仍然存在漏洞，但是支付寶從未承認， 更未採取措施彌補漏洞。