二维码应用漏洞|欺骗|....更多好玩的???

safe121 (www.safe121.com重開【조선민주주의인민공화국평양직할시평안남도중앙양수기공장】回收懸賞帖金幣,收40%服務費) | 2013-02-21 11:29

最近一直在研究二维码,因为从生活到虚拟,很多地方都用到了二维码

今天去超市买东西,刷码结帐的时候,某个东西(饼干),刷不到

收款员的机器上写着PRODUCT “123456”(假设是这个吧) NOT FOUND!

于是万恶的跳跃性思维想到了

select * from `products` where `barcode`='123456'

于是更万恶的黑阔细胞想到了

假设二维码的值是

123456';update `products` set `price` = '1.00'

会怎么样呢,回到家火速查阅了相关的资料,发现是不可能实现的

翻了百科,超市的一般用EAN13码

又翻了翻维基百科,发现没表明是否只支持数字,不过英文版的有 total of 14 or 17 data digits

这尼马就但疼了,于是又有个猥琐的想法

假设自己带个二维码贴纸,把商品的二维码覆盖进去呢?

呵呵呵,呵呵呵。。。。

还有有时候剪票的时候也用到二维码,上次去看演出,有个怪蜀黎拿着一个枪检票就是有个类似二维码的(其实就是二维码),然后一个票只能用一次

20130220_222129.jpg

解码出来就是那串数字,感觉同样可以造成欺骗,但是无法太严重后果,因为只能输入数字型

在google查了查有没有相关案例,发现乌云上有

WooYun: 利用恶意二维码攻击快拍

现在二维码应用用的很多了,比如某饭店的刷卡机,用QR码制造XSS然后退出沙盒

感觉有点类似物联网安全的问题了

下面来讨论下更多好玩的呢?