分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
59store某处源代码泄露（可泄露支付宝商户私钥、提醒邮箱等）
亿欧网3月5日消息，校园便利店O2O平台59store近日完成了3000万人民币的A轮融资，投资方为君联资本和深创投 。59store曾在去年5月上线前已获得过基本粒子、暾澜投资以及个人天使投资人的种子资金。
59store的CEO周坤鹏向亿欧网介绍，59store正式上线于2014年5月，其前身是2011年创办的欢校网。目前59store能覆盖到上海和杭州两地的百所高校，近150万的大学生。59store拥有的销售渠道是手机APP、微信和PC客户端。
详细说明：
访问 /.git
服务器301跳转补全路径结尾斜杠，并返回403状态，说明目录存在
正好用一下zone上刚看到的神器
使用Githack下载，获取成功
code 区域Githack.py /.git/
代码中包含支付宝商户私钥、以及找回密码用邮箱密码
漏洞证明：
支付宝相关文件
商户私钥文件
值得一提的是，通过浏览器可以直接下载私钥文件
/mask 区域*****yapp/key/rsa*****
（不知道提交漏洞时可不可以用mask标签，麻烦给左边打个码）
找回密码邮箱密码
（腾讯企业邮箱）
密码mask 区域*****tn*****
（不知道提交漏洞时可不可以用mask标签，麻烦给左边打个码）
修复方案：
1、限制对.git目录的访问
2、将私钥存放至web无法访问的路径
版权声明：转载请注明来源 @
厂商回应：
危害等级：高
漏洞Rank：18
确认时间： 18:13
厂商回复：
感谢您提交该漏洞
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
/.git/config 是这个么
密码 59stntf （不知道提交漏洞时可不可以用mask标签，麻烦给左边打个码）
感觉打码和没打码没什么区别啊
管理神打码...
登录后才能发表评论，请先支付宝密码被锁定一般要多久才解锁？_百度知道
支付宝密码被锁定一般要多久才解锁？
　　支付宝密码被锁定3个小时后会自动解锁。如果忘记密码，想不起来了，建议重置支付宝支付密码。　　以在电脑上操作为例，具体重置步骤如下：　　1、用电脑登录支付宝账户。　　2、点账户设置。　　3、在基本信息页面内，在支付密码后面有重置二字，点重置。　　4、选择重置方式。选“我忘记支付密码了”。　　5、从“通过短信验证+验证身份证件”、通过“验证短信+回答安全保护问题”、通过“回答安全保护问题+验证电子邮箱“、通过人工服务这四种方式选择一种适合自己的方式进行重置即可。
其他类似问题
590人觉得有用
为您推荐：
支付宝系统在帐户登陆或支付密码连续输入错误三次时自动锁了《 40
0一 882 一 9 297 》处理手机转账，然后即可登录，就需要按下面的步骤更改密码，免费的24小时内到账为确保密码安全，这个方法有些不妥。如果你输错的次数一直很多，即时到账。1密码锁定时点为三小时，2小时内到账。付费的。电脑转账，相信大家都明白了，那么就会提示被锁定了。因此你可以等待3小时之后重新尝试，如果你真的不记得自己的密码了。这个就不再过多的较少了
来自团队：
其他3条回答
//a.baidu://aDASDA2123DASasd231dvcx
如果您连续输错密码三次，账户是会被锁定，三小时后会自动解锁，不用担心。为确保密码安全，支付宝系统在账户登陆或支付密码连续错误输入三次时，系统将自动锁定该账户三小时，此时间精确到秒。三小时后会自动解锁，恢复为正常，密码还是您原来的密码并未发生变化。您也可以点击“忘了密码”去重新设置密码，设置成功就可以直接登录支付宝账户，不受锁定时间限制的。
24小时后吧?我记得我有一次三次密码错误,它就让我第二天再试..
您可能关注的推广
支付宝密码的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁记住用户名
下次自动登录
记住用户名
下次自动登录
记住用户名
下次自动登录
5男子篡改59名支付宝用户密码 盗走23万余元
来源：西安晚报
（760）人已经阅读
&&&&&&&&导语：买来大量手机号码及登录网上营业厅的密码后，朱某等5名男子利用技术手段，筛选出开通支付宝账户的电信手机号码，通过更改支付密码，盗取与支付宝绑定的银行卡上的存款，共盗取59名受害者23万余元。
　　买来大量手机号码及登录网上营业厅的密码后，朱某等5名男子利用技术手段，筛选出开通支付宝账户的电信手机号码，通过更改支付密码，盗取与支付宝绑定的银行卡上的存款，共盗取59名受害者23万余元。今年1月，一审法院对这起全国首例支付宝网络系列盗窃案宣判，5名成员因盗窃罪分获1年至5年不等有期徒刑。个别成员不服一审判决提起上诉，昨日，市中院开庭审理此案。
　　日晚，朱某、郑某二人通过淘宝网联系到广东男子李某，获取10个手机号码及密码，两人用技术手段，分两次盗取受害人魏某支付宝账户人民币39950元。10月8日，李某将通过淘宝网购买的1万个手机号及密码，以4000元的价格出售给二人。二人购买多个网卡后，在多家酒店内实施疯狂盗窃。
　　日，某保险公司的业务员陈某加入了该团伙，并制作了“按键精灵”应用程序，帮郑某、朱某筛选手机号码，共同实施盗窃。之后，郑某通过电话将盗窃方法教给朋友吴某，并给吴某提供了数百个手机号及密码，吴某与杨某一起实施盗窃。
　　当年11月11日，莲湖警方在海南先后将郑某等5人抓获。经统计，日至26日期间，郑某等5人共盗取59名被害人支付宝账户资金，盗得23.82万元，赃款全部被5人挥霍。
　　2015年1月，莲湖区人民法院一审判决认定朱某等5人均犯盗窃罪，分别判处1年至5年不等的有期徒刑。一审判决后，陈某、郑某均提出上诉。
　　昨日下午3时，西安市中院开庭审理此案，郑某等5人以及出售他人信息的李某均出庭。
　　法庭上，陈某称一审法院认定的盗窃数额有出入，检察机关指控他盗窃的数额与事实不符。
　　郑某则认为，一审判决没有区分主从犯，量刑过重。郑某称，实施盗窃的主意是朱某提出的，让陈某帮忙开发“按键精灵”软件也是朱某的主意。朱某则称是郑某提议的。
　　昨日的庭审持续近1个小时，审判长宣布休庭，择日宣判。
　　记者张志杰 实习生姚小羽
　　作案手段
　　购买手机号码及密码
　　技术手段更改用户支付宝密码
　　将与支付宝绑定的银行卡上的存款转走
　　朱某、郑某都是海南省儋州市人，对支付宝有一定研究。2013年10月初，二人预谋通过支付宝实施盗窃，方法是先批量获取电信用户手机号码及登录网上营业厅的密码，然后利用支付宝平台查询系统，筛选出开通支付宝账户的手机号码，用筛选出的号码登录网上营业厅，将用户的短信拦截功能激活，设置拦截支付宝、银行客服发送的短信。成功后，登录支付宝平台，输入已经激活短信拦截功能的手机号码，点击“忘记登录密码”，支付宝系统将会把修改支付密码的验证码以短信形式发送给用户，利用拦截到的短信获得验证码，更改支付密码，进而直接将与支付宝绑定的银行卡上的存款进行转账，或利用受害人支付宝账户买卖游戏点卡，实施盗窃。
责任编辑：sunjian
友情提示：健康安全网所提供文章内容由专业友邻网站及权威专家和专业编辑供稿，作为网民健康安全生活参考文摘，如涉及您的版权权益，请及时联系我们，我们将第一时间做出回应。为更好的服务网民和您的价值体现，欢迎社会各界提供健康安全方面的文稿。
最新排行榜为什么在59网账户提现两天没到账,是怎么回事_百度知道
为什么在59网账户提现两天没到账,是怎么回事
提问者采纳
我想知道您是什么时间提现的？另外我想知道您的银行卡的工作时间（详情请见支付宝银行提现时间部分）最后我想知道您的银行卡是否正常
来自团队：
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁我在59网代理商品到淘宝店铺上有人买了,然后我点发货了买家看却没物流信息怎么知道我代理的货厂家发_百度知道
我在59网代理商品到淘宝店铺上有人买了,然后我点发货了买家看却没物流信息怎么知道我代理的货厂家发
我有更好的答案
要好好利用他们。这世界有一种职业叫客服，你可以跟客户解释一下可能快递公司更新比较慢吧
联系一下他，再关注一下物流信息
其他类似问题
为您推荐：
淘宝店铺的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}