神舟专车充值流程免输信用卡交易密码(可恶意*到其他银行卡)

神舟专车充值流程免输信用卡交易密码(可恶意*到其他银行卡)

神舟专车app登录使用4位数的短信验证碼进行登录认证。该短信验证码可进行枚举，当枚举短信验证码验证成功后，可进行免密码任意金额充值，在确定充值金额后，选择银行卡支付，直接扣款成功，成功充值到这个手机号码登录的用户。接下来，通过电话客服，以各种理由为由，要求退款(注意：这个退款流程也是不合规的!不是原路退回!)，客服要求提供一个银行账户，7个工作日内，可以把款项打到你提供的银行账户。进一步可进行非法洗钱、信用卡恶意*、资金去向无法跟踪等风险。

业务逻辑方面存在问题，懒得截图，乌云君见谅。

解决方案：

1、短信登录验证码添加验证机制，防止枚举。

2、交易流程验证交易密码!(现有的这个交易流程不符合银监要求的!)