微信支付被曝漏洞 不付錢就能任意買任何東西
微信支付被曝漏洞 不付錢就能任意買任何東西
你知道嗎?微信上有一個大漏洞!這個漏洞是外國人發現的。微信支付被曝漏洞後,雖然還沒有迴應,但漏洞本身的詳細情況卻公佈了,微信的該漏洞可以讓人們不付錢就能任意的買任何東西。
7月1日,在老牌漏洞披露平臺Full Disclosure出現了一封寫給微信支付的信。發件人是Rose Jackcode,信的標題是《微信支付官方SDK的XXE安全漏洞(微信支付在商戶頁面遺留了一個後門)》
發件人Rose Jackcode在信中稱,他在微信支付官方SDK(軟件工具開發包)發現了一個安全漏洞,此漏洞可導致商家服務器被入侵,一旦攻擊者獲得商家的關鍵安全密鑰,就可以通過發送僞造信息來欺騙商家而無需付費購買任何東西。
在使用微信支付時,商家需要提供通知網址以接受異步支付結果。問題是微信在JAVA版本SDK中的實現存在一個XXE漏洞。攻擊者可以向通知URL構建惡意payload,根據需要竊取商家服務器的任何信息。換句話說,黑客利用微信支付的這個漏洞,能實現0元買買買的情況。
爲了讓大家信服,Rose Jackcode還貼出了兩張代碼截圖,展示出漏洞利用的過程,中招者是 Vivo和陌陌。
那麼他提到的XXE漏洞到底是什麼呢?資料顯示,XXE漏洞即XML外部實體注入漏洞,它通常發生在應用程序解析XML輸入時,沒有禁止外部實體的加載,導致可加載惡意外部文件,造成文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起DOS攻擊等危害。簡單說就是使用XML後的引用不規範導致的問題。
值得注意的是,目前漏洞的詳細信息以及攻擊方式已被公開,安全人員建議使用 JAVA語言 SDK(軟件開發工具包)開發微信支付功能的商戶,快速檢查並修復。據白帽匯安全總監“BaCde”向雷鋒網透露,由於微信官方的SDK有問題,目前所有使用基於微信支付JAVA SDK開發的微信支付功能都可能受影響。
但是爲什麼Vivo和陌陌會受影響?一個是手機廠商,一個是社交軟件,似乎和微信支付沒有直接關聯。
BaCde解釋,Vivo可能是因爲其在線商城,比如黑客可以用微信支付不花一分錢來買走在線商城的東西。而對於陌陌中招,則有可能是因爲它可以通過微信支付進行會員充值,也有漏洞可以利用。
雷鋒網稱,雖然這篇在國外網站上的披露文章是英文的,但是其技術人員用了中文的標點符號,很有可能是國內的技術人員冒充外國人發的攻擊詳情。
針對此漏洞,微信支付方面未發佈相關安全公告。騰訊方面在向媒體迴應時表示,“微信支付技術安全團隊已第一時間關注及排查,並於今天中午對官方網站上該SDK漏洞進行更新,修復了已知的安全漏洞,並在此提醒商戶及時更新。請大家放心使用微信支付。”
-
23歲小夥長期喝可樂門牙腐壞脫落 長期喝可樂的危害有哪些
很多人喜歡喝可樂,現在人們習慣將其稱爲“肥宅快樂水”,但實際上,再好喝,它也是飲料,喝多了難免會對身體造成損害,大家一定要注意。近日,湖南長沙第三醫院接診了一名患者,一位23歲小夥長期喝可樂門牙腐壞脫落!那麼,具體長期喝可樂的危害有哪些?一起來了解。23歲小夥長期喝...
-
喜馬拉雅再現精靈閃電 存在時間極短難以捉摸
此前,“喜馬拉雅山脈爆發紅色精靈閃電”上了熱搜,昨日(19日)喜馬拉雅竟然再現精靈閃電!很多人就對這種閃電充滿了好奇:爲什麼要將其稱爲“精靈閃電”呢?和其他閃電有什麼不同?據悉,這種閃電在空中存在時間極短,難以捉摸,是一種在距離地面30到80公里的大氣層中存在向上噴流...
-
防暑降溫技巧趕緊來get 中暑了該怎麼辦
據中央氣象臺,我國大範圍高溫強勢來襲,部分地區最高氣溫將超40℃,大家一定要注意防暑降溫。那麼,要如果防暑降溫呢?以下是央視新聞發佈的防暑降溫技巧,趕緊來get一下吧。但是,即便一再提醒,仍有人會出現中暑症狀,那如果中暑了該怎麼辦?一起來了解。防暑降溫技巧趕緊來get...
-
克萊因藍爲什麼這麼火 克萊因藍是什麼
剛剛,“克萊因藍爲什麼這麼火”突然就衝上了熱搜榜首,而對於很多人來說,看到這個熱搜都好奇極了,因爲就“克萊因藍”這幾個字,很多人幾乎是第一次見。那麼,所謂的克萊因藍是什麼呢?克萊因藍是怎麼來的?下面我們一起來了解。克萊因藍爲什麼這麼火克萊因藍57年前,克萊因藍...