不懂就问, 12306 的 bypass 软件的自动支付功能是什么原理

支付宝网页支付不需要登录密码

我理解安全方面的防护和限制应该是支付宝侧在做吧，bypass 只是用支付宝账户和支付密码模拟支付的过程

OP 没用过支付宝网页支付？
试试看就知道了本身就只需要支付密码。

用支付宝捐赠 1 分钱，你就知道手机网页支付只要支付密码

你连这个都提供? 是真的信任这软件啊

多谢楼上几位大佬科普. 目前来看确实是支付宝官方的网页接口, 仅需支付宝账号和支付密码即可支付. 然后 bypass 模拟提交数据到支付宝网页版.

同时也找到相似提问, 答案也同上面的说法类似. https://v2ex.com/t/598642#r_7864574

不过总感觉这个接口是自己意料之外的. 主要感觉六位数字密码真的好容易被密码碰撞, 感觉这个支付的口子开得好大

支付密码是可以自己设的吧，不局限于 6 位纯数字。我的密码就超过 10 位了。

卧槽这也敢给。。

网页上的支付密码不是你手机上设置的 6 位数字，这个可以设置的很复杂，用于网页淘宝付款的时候要求输入支付密码

支付宝 还算安全了 有些信用卡支付 只要卡号 cvv

支付宝网页版直接进支付界面的时候，不用输登录密码，前后输两次支付密码就行，这个 feature 起码十年了。那会支付密码还没有限制只能为 6 位数字，各种符号都可以，后来突发奇想才改得跟银行卡密码一样。

联动一下
https://v2ex.com/t/322227

https://www.zhihu.com/question/20289013

问一个别的。现在 12306 官方提供候补车票的功能，bypass 还有各种刷票网站基本没用了吧？

@lixiang2017 #13 软件抢候补比手动快，然后就是挂机捡漏

@lixiang2017 放票的一瞬间软件买票还是比手动快很多的，而且候补越早得票概率越大，不过感觉这两年除了春运倒是没啥需要抢票的时候了，基本上开车前都能有空余的票。

op 可以卸载支付宝 APP ，然后其他 app 例如抖音下单选支付宝支付，就清楚了

@hhjswf 楼主说的不是敢不敢给密码的问题，而是说别有用心的人如果收集了几万几十万个支付宝账号，然后每个通过密码碰撞进行支付的风险度问题。如果每个支付宝账号密码（ 6 位数字）一天可以试错 5 次，那每天刷 100 万个支付宝账号，概率上就有 5 个是能成功的。如果支付宝没有其他防御机制，这种风险还是相当大的。

@ONEBOYS #17 阿里是吃素的？还每天 100 万个，章口就来啊

@lixiang2017 #13
还是有用的，最起码可以同时候补多个（前两年关注了）

放心吧，碰撞不了，跟银行卡一样，连续几次错误就触发风控了

你提供支付密码，也是蛮勇的

@ONEBOYS 会不会有一种可能（我说假如，并不知道是否有这种验证，或者 alipay 更智能），同 IP 或设备连续刷几次账号支付错误后，触发风控？

@ShundL 事实上支付宝的风控还是很厉害的,一般不会出现错判

海外信用卡的在线支付也是校验一个 3 位数字的 cvc 和一个年+月就可以了，可行的碰撞组合比 6 位数字还少的多
实际上多错几次早就锁卡了

@wangxiaoaer 支付宝正常交易一天就有上亿笔，非法请求不见得少多少量。支付宝的攻防那确实是神仙打架，能亮出来网页版账密直付就说明风险几乎没有，但这样倒推的讨论有意义吗？

@lixiang2017 有用，候补也是要抢的，候补应该是按顺序给票的。另一种情况就是，有时候会放一些车票出来（越过候补），你 24 小时挂着就能抢到。

@ShundL 听楼上分析，支付请求是 bypass 传递过去的，不知道走不走服务端，如果走，那被锁的应该是 bypass 服务器。但我觉得是不走的，所以楼主输密码其实也没风险

难道有票不是先给候补吗

你 12306 可是实名制，换个不同名的支付宝试试？

@yukiww233 实际上还有个 zip code 和 billing address

我需要软件楼主给个链接

海外信用卡按理说安全性比支付宝差很多，但是大家照用，反正出了问题是银行赔。。。