二维码应用漏洞|欺骗|….更多好玩的???
最近一直在研究二维码,因为从生活到虚拟,很多地方都用到了二维码
今天去超市买东西,刷码结帐的时候,某个东西(饼干),刷不到
收款员的机器上写着PRODUCT “123456”(假设是这个吧) NOT FOUND!
于是万恶的跳跃性思维想到了
select * from `products` where `barcode`=’123456′
于是更万恶的黑阔细胞想到了
假设二维码的值是
123456′;update `products` set `price` = ‘1.00’
会怎么样呢,回到家火速查阅了相关的资料,发现是不可能实现的
翻了百科,超市的一般用EAN13码
又翻了翻维基百科,发现没表明是否只支持数字,不过英文版的有 total of 14 or 17 data digits
这尼马就但疼了,于是又有个猥琐的想法
假设自己带个二维码贴纸,把商品的二维码覆盖进去呢?
呵呵呵,呵呵呵。。。。
还有有时候剪票的时候也用到二维码,上次去看演出,有个怪蜀黎拿着一个枪检票就是有个类似二维码的(其实就是二维码),然后一个票只能用一次
解码出来就是那串数字,感觉同样可以造成欺骗,但是无法太严重后果,因为只能输入数字型
在google查了查有没有相关案例,发现乌云上有
WooYun: 利用恶意二维码攻击快拍
现在二维码应用用的很多了,比如某饭店的刷卡机,用QR码制造XSS然后退出沙盒
感觉有点类似物联网安全的问题了
下面来讨论下更多好玩的呢?