Loading... 我院的学生宿舍水卡机并未联网,因此可以肯定的是,一卡通水卡区的扇区数据不会与学校服务器端的数据进行比对,唯一的核对方式就是将卡片放入消费机中进行对账。 我院的一卡通饭卡消费机是联网的。然而,在实际测试中发现,即使重放数据,仍然可以恢复原有的金额值并通过卡机验证。这说明在身份认证时,饭卡机并没有将饭卡金额数据上传到服务器进行验证。即使消费完原有金额后重新导入数据,仍然可以正常使用。不过,在饭卡充值时,安全性要高得多。充值后,系统会与服务器端比对卡中的数据。如果数据异常或被篡改,系统会注销该卡,需要重新办理卡片才能正常使用。 经过多次测试,我们学校的一卡通采用M1卡,并且使用了逻辑加密技术。该卡还采用了私有的加密算法,属于SAK28纯CPU卡。经过测试,我们无法通过暴力破解的方式复制、模拟或修改该卡。 ![截图](https://cdn.xt6a.com/typecho/uploads/2023/07/651146875.jpg) 存在漏洞:首先,你使用校园卡给水卡充值100元,然后使用原始校园卡在领款机上领取款项。领款完成后,你再办理一张新的水卡,补卡费用为10元。新的水卡将有90元余额,而原始卡中仍保留着你充值的100元余额(该余额只能用于洗澡,用完后该卡将无法再使用)。新卡中的90元余额可以在学校商铺进行任意消费。 最后修改:2023 年 07 月 20 日 © 允许规范转载 打赏 赞赏作者 支付宝微信 赞 4 如果觉得我的文章对你有用,请随意赞赏