Adsnese发工资小记

和以前不一样,这次遇到了一点波折,为啥,因为adsense改版了!一开始在adsense后台取了监控号和金额之后我并没有太注意,以为只是网页改版而已,没成想和平时一样用光大网银在线Adsense西联收款竟然2次不成功,提示没有符合的条件,出错了!我又在电脑前重新核对了一次监控号和金额,没错啊;又打电话给光大客服,被告知卡也没问题。好吧,启动万能的谷歌得知,原来Google不但网页改版,连发汇机构也从美国改到爱尔兰去了。

谷歌原先的发汇机构是:
1600 Amphitheatre Parkway
Mountain View CA 94043
USA

现在是:
Google Asia Pacific Pte. Ltd.
8 Marina View
Asia Square 1 #30-01
Singapore 018960

还有人是(新加坡):
Google Asia Pacific Pte. Ltd.
8 Marina View
Asia Square 1 #30-01
Singapore 018960

仔细对比还发现现在比以前还多了税号的显示。听论坛大牛们讨论说之所以把发汇国家从美国改成爱尔兰和新加坡是为了避税,以前听闻过google,apple,amazon等有自己的一套复杂的避税体系,这下一看,此话不假!这个月我的收入不多,也就几千块,马钢工人半个月的工资,小小的晒下,路过的大牛勿拍!

淘宝骗子

前天的上午吧,还是下午,看聊天记录是晚上,这丫弹窗我的旺旺,问我有没有折扣,如下图,看旺旺聊天窗口旁边的来路产品是我的天龙d7100,啊,终于有人问了,我还有4个d7100在路上,正愁着怎么卖呢。立即回复,看看有没有戏,看记录,似乎还是大客户呢。

看到没?买东西都有清单呢,难道真是大客户?也不对啊,我淘宝店的宝贝都是代购的服务,没有实实在在的现货产品呀,怎么会有清单,无比疑问中。

把号码发给了她,想一探究竟,我的好奇心一向强大无比。

到这就觉得肯定不对了,显然是有问题的哦。就算有清单,干嘛不直接用旺旺发呢,钱多的烧的慌?

强大的好奇心继续驱使我探索未知,迫不及待的就点打开了链接,哦,原来这样。

这估计得分2种情况。第一种,此app是病毒,盗号转钱啥的,但预估可能性不大,一般的手机用户是不会提权到root的,那病毒能做的坏事就很少很少;第二种,做app推广,一个app有效安装的提成一般在1-5元之间,一条短信才1毛钱或者几分钱,测试好转化率的话,赚的还是不错的。

挺低级的骗术!

谷歌Hacking的威力

内容来自知乎Evi1m0(知道创宇,邪红色信息安全组织创始人)<—–这个必须留,这种类型的大牛,2根手指就可以黑了我的博客,不能得罪!好,马屁拍完,内容开始!

今天(2014年2月17日)下午,互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝(我的余额宝撒)》的漏洞一炮打响,一时间各BBS、微博、微信、QQ群展开火热的讨论,很多人表示关心自己支付宝是否安全?有的白/黑帽子则更是关心漏洞的细节以及漏洞利用情况。

首先回答大家最关心的问题,网络支付还安全吗?

当然今天所看到的只是某个漏洞提前曝光在了大家眼前,至于支付是否安全,我觉得这得需要服务提供商(公司)和用户共同来铸造,单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123的账户,你怎么样守护他的安全?系统打好补丁,别上小网站下载乱七八糟的应用,先保证自己电脑以及安全意识没有那么低下,剩下的安全就交给服务提供商来做吧!好在近几年国内厂商安全意识有所提高。

这个问题只是网络安全漏洞世界中的冰山一角,为什么大家会那么关心这个问题,好多朋友甚至私信、短信我问这个问题?

其实说起来也很简单,因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天,你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的,比如他的论坛密码泄露?通知他说:“你某论坛密码泄露了,修改一下吧”他会很无所谓的告诉你:“泄露就泄露吧,反正没多大事,实在不行重新注册一个”

爱财之心,人皆有之。这个漏洞引发了不少人的恐慌,好在我支付宝没绑定银行卡,余额宝更是没有钱,索性好好的分析一下这个漏洞的详细情况。

漏洞详情?威胁究竟如何?
2014-02-17下午14:20 Wooyun平台上爆出这个漏洞,截止到16:00已经修复,当然大家不知道这个漏洞也许存在并被利用很久了,前面说过了,只是浮出水面的一角。
14:25分的时候我收到一封来自这里姑且称之为“L”的邮件,提供给了我漏洞详情,称漏洞快被修复了让我拿来研究一下,看完之后真是娇躯一震。

邮件内容只有一句话:site:http://login.taobao.com inurl:login_by_safe, about wy. L
但是就是这样一句话,想必就是白/黑帽子梦寐以求的东西,现在漏洞已经Fix,当然这篇文章全文都是我编的,不用太在意。

后面就好办了,于是我们进行的简单的GoogleHack:

https://login.taobao.com/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=

上面就是结果页的URL,写到这里我有点儿编不下去了,便把user_num_id的值打了星星符号,这个漏洞是这样的,搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户,再从淘宝可以跳到支付宝,当然不需要登录。

于是后面我又把这个URL进行了“分解”:
https://login.taobao.com/member/login_by_safe.htm?
sub=
&guf=
&c_is_scure=
&from=tbTop
&type=1
&style=default
&minipara=
&css_style=
&tpl_redirect_url=
&popid=
&callback=jsonp97
&is_ignore=
&trust_alipay=
&full_redirect=
&user_num_id=*********
&need_sign=
&from_encoding=%810%851_duplite_str=
&sign=&ll=

后来又对比了几个,发现其中不同的仅是callback与user_num_id,callback不用理睬,也就是我们可以通过遍历user_num_id便能登陆任意账户。

其实一旦支付宝账户像这样的方式泄露,用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏,哎,这事又怪不得用户。不过阿里这次能给国内网民提个醒,注意注意安全!当然有好多朋友提出这样的疑问:“他又不知道我的转账密码,所以还是没问题啊,一点儿表示不担心”。像遇到这种人只能笑而不语,其实支付宝是有个小额免密的功能的,那么大数据用户面前来几百万个小额免密的用户,黑产小伙们就笑了。

哦,对了,不知道黑产小哥们玩了多久这个漏洞了。

类似的漏洞有没有?

下午redrain(信息安全爱好者)和我聊天中说想起去年2月份左右支付宝出现过类似越权限的漏洞,但没有今天如此严重,还好留下两张历史图片:

其实这种漏洞在某些地方还是蛮多的,如果你认为所有漏洞都会披露到互联网水面上,那就太天真了。

支付安全中另外一种很常见的攻击手法就是钓鱼了,这种钓鱼普遍发生在高档咖啡厅,黑客采用定点攻击,搭建WIFI热点让其用户连接监听用户所有流量包进行劫持,这两天会发表一篇关于DNS劫持的文章,他们之间有异曲同工之妙的联系。

官方表态

16:40分时,淘宝网壕风雄震在新浪微博致谢漏洞挖掘者5W元人民币:

甲方公司这样的态度令人称赞,让我们共同呼吁铸造安全互联网!

最终结论

说到底,用户怎么样才能保证自己的支付安全?

1、开启短信验证码支付
2、手机支付的话开启手势支付
3、绑定数字证书
4、不链接陌生的Wifi
5、使用复杂密码(重要网站使用独立密码)
6、没有必要的话手机不要越狱或者Root
7、…

安全是一个整体,单线安全注定不安全,这就需要服务商与我们共同的安全意识。

对了,刚刚“L”发给了我一张图:

ps:最后这幅图让人碉堡了,这算是作者前面那句“其实支付宝是有个小额免密的功能的,那么大数据用户面前来几百万个小额免密的用户,黑产小伙们就笑了”最现实的注解了。还好我这样用多少充多少平时余额始终保持在零的用户,他们能拿去的就不多了。

2天没写了,主要因为忙。

有多忙呢,8万的信用卡金额,被我10天时间刷的差不多了。美国英国德国法国西班牙意大利荷兰各种网站消费啊,弄的我自己购物开始上瘾了,于是在美亚gnc和其他各类网站给自己屯了一万多的货,目前在途中,打算和小月月合伙搞个可以卖现货的淘宝店。挺吸引人的,好好努力吧。

起飞吧,骚年!

Footlocker会员

不知道咋回事,刚才在帮一买家在Footlocker代购了一双鞋子后,迷迷糊糊的就成了Footlocker的VIP会员,开始吓了我一跳,还以为要钱呢,后来发现没多扣款啊,仔细看了下条款,貌似购买金额超过300美金就可以自动成为vip。Footlocker是一家挺有意思的网站,第一次在他家买鞋子一次性买了三双,貌似二百多美金,然后给我砍单了,我来没来得及通知买家呢,过2天又告诉我发货了,但是,但是我信用卡没扣钱啊。又过了几天,鞋子估计都到达转运啦,才给我发邮件说他们网站出现错误,给我发了鞋子但是没有扣款,通知我马上要从我信用卡扣款。以我的性格,我肯定想占便宜啊,立马回邮件说我不知道这回事,然后Footlocker又给我回了一封长邮件,没注意看他们说的什么,一会儿,手机就收到了扣款短信。

贵宾#:10312497024585

看到没,这就是哥Footlocker的会员卡号了。会员有什么好处?当然有了!当你的消费金额超过50美金,可以使用哥的优惠码:VIP3FP50,来免除运费。还有其他的什么优惠没有?貌似没了,囧~

悲伤在上演

饭后闲聊,有感而发,人不能没有底线,人不能没有自尊,人不能只为自己,人要常常想想因为自己而给别人带来的时间都抹不去的永远的伤痛和遗憾。过年了,虽然每天都很累,却常常夜不能寐,失神的望着屋顶上窗外路灯投照出的光影,时间一分一秒,思绪潮涨潮落。突然想起教主说过的一句话,如果我是魔鬼。

如果我是魔鬼,大概会干这么几件事:1、让所有人逻辑清晰、聪明理性;2、去除所人类自我原谅的能力;3、去除所有人遗忘的能力;4、让所有人健康长寿。

若魔鬼来找我,拿出这样一个按钮,作用对象是包括我在内的所有人,我一秒钟都不会犹豫,立即按下。

那就散了吧

土豪开始是喊我搞本地新闻app的,谈了很多想法并为我描述了一个非常美好有钱途的未来,结果我答应他并且按照他的建议又拉了个同行进来之后,土豪又看上了同行做的emu,觉得利润太大了,一年一百万啊。于是,又开始说服我做emu,我。。。向来没什么主见,于是被拉进了船里。

断断续续的,把工作室搞出来了,一开始告诉我的不用为没有英文人员操心结果后面最大的难题就是没有熟悉英文的员工,来了几个走了几个,直到最后一个女孩,那就是佳慧。佳慧干的还是不错的,虽然不是很聪明,但是经不住人家肯学啊,前后总共申请了4批联盟,每批50个,时间不知不觉就到了过年,走之前是说好过完年初五来上班的。

初三那天的早上,佳慧给我打来电话,说刚才打给老陈两次没人接,让我转达下,她不想干了,工资也不要了。我还能说什么,也不想知道原因,挂了电话打给老陈,果然没人接。今天初六,老陈发来微信,说了上面这些,没人,还搞个屁啊,让我重新再带一个新人?这是第三个了,嘴讲干了都,散了算了。

天壤之别

垃圾的Lord and Taylor比起来,Nordstrom真的非常有良心啊,看我和客服的聊天记录就知道了。Lord and Taylor除了拖就是拖,除了sorry就是i’m sorry,实际作用狗屎一泡,我那100美元的gift card到现在都没消息,他妹子的,真想再去fuck他们。

Thank you for your question! You will be connected to a Customer Service Specialist shortly.
Sara P has seen your question and will be with you shortly.
jun pan: hello ?
Sara P: Hi there … I see that our financial department is trying to get a hold of you ?
jun pan: I received your e-mail
jun pan: We have a question regarding your order before we can ship the merchandise. Please call us toll free at 1.###.###.#### or if you are outside of the United States please contact us at ###.###.#### at your earliest convenience.
jun pan: I tried to phone you, but failed
Sara P: Yes we need you to call that department please .. there is nothing that I can help with I am real sorry ..
Sara P: is there a number they can call you
jun pan: yeah
jun pan: yes
jun pan: What is the problem with my credit card Mody
Sara P: I can certainly give them a number and have them call you tomorrow
jun pan: You know, I am Chinese, my English is very bad
Sara P: I am not sure because the financial department is doing the asking .. I am sorry I am not able to help
Sara P: they don’t take chats either or I could transfer you but they can call you if you can give me a number please
jun pan: OK
jun pan: #############
Sara P: awesome thanks got it
Sara P: I will pass this along to them for sure… 🙂
jun pan: My English sucks, but I can assure you that my payment information is true
Sara P: No need to worry I am sure there is nothing wrong .. they probably just need more information on order or something …
Sara P: this has happened to other orders every day … 🙂
jun pan: Okay, thank you very much for your help
Sara P: Your very welcome and have a wonderful rest of your night!
jun pan: you too

穷逼小要饭

最近这段时间,买了几千的尿不湿,各种保健品,化妆品,护肤品,孕婴用品。。。真穷了啊,还准备去w家屯奶粉来着,上次回来的四个耳机也卖完了打算再入手几个,今天有一个客户退款来着一转账才知道我了个去。。。就剩15.91块了啊。嗝屁了!

才初四呢,明天到底要不要去要饭呢?老陈工作室唯一的一个妹子初三打电话过来告诉我,今年不打算干了,工资也不要了,还祝我新年快乐,我。。。。这年才开头呢,这什么节奏啊!