垃圾苏宁，发票漏洞

45 位 hash 可能的数量有 10804695562359870518299193703899148848724015728610899282651377959960576L 种可能吧。

存放 100 万张发票，每次能碰对一张的概率是 100 / (36 ** 45) = 9.255235320869961e-65

如果上面这样算没错的话，感觉比密码强的多。

没觉得比密码强，尤其是有人知道了链接之后

什么叫有人知道了链接之后？

密码不也是用户名+密码的字符串吗？ 这个长度不是比 hash 长度小的多？

@eccstartup 一般帐号+密码也就 30 位左右, 比这个弱多了

51fapiao 应该是提供开取 /读取发票接口的公司
看了下 典型客户
京东, 苏宁, 阿里, 百度, 亚马逊, 国美,中移动....

按你这么说 RSA 还有漏洞呢。
16^45 比你想像中的要大，少年。

https + 45 位 hash，对于一个对公共服务的发票接口，没毛病

@wingcol 有试错次数限制啊

补一句，别提穷举，防穷举跟 https + 45 位 hash 本身没有关系
楼主你要是挑刺的话，先去单 ip 穷举 10w 次，如果没把你封掉，再来喷不迟

楼主要是这都能随便输一个就能命中，那就去买彩票把，彩票的数字短多了。

哈希前是什么内容？自增 int 吗？

google 很多产品 forms，drive 分享等都可以用“知道链接就可以编辑”这种原则。

能命中的概率比中彩票还小。

这个就算是锅也是 51fapiao 的锅-。-

哈哈哈，大家不要这样，楼主等下不敢回复了
确实安全性还是可以的。

发票已经开出了。。。税务信息又不能改。。。如果开的个人发票 也就看到姓名

非得再让你注册个 51fp 的账号你就满意了是吧？

哈哈哈,扎心了

年少轻狂

那还真不是苏宁的锅，国内目前在推电子发票，这个是 51fapiao 的。你看看 12306 做得什么样就知道这个平台怎么样了。

一般人的账户+密码长度不会超过 45 位吧，那么能穷举 45 位哈希还不如穷举账户+密码。

没搞清楚状况就出来喷，现在怎么这么多喷子

把前 25 位当成用户名，后 20 位当成密码，你就发现太良心了

啊哈哈哈哈哈

这电子发票你下载了有啥用，又不是你的，我就不信你公司财务还能给你报账不成

哈哈...虽然不友善，不过还是想说你是想笑死我好继承我的花呗么