0元就能买买买微信支付官方SDK被曝严重漏洞 Vivo陌陌中招

首页

风闻

国际

军事

财经

科技

TMT

汽车

智库前沿

视频

0元就能买买买微信支付官方SDK被曝严重漏洞 Vivo陌陌中招
- 陈燕妮chenyanni@guancha.cn 欢迎投稿，欢迎拍砖。
分享到：

2018-07-04 13:06:25 字号：A- A A+ 来源：bet365苹果版

关键字: 微信支付安全漏洞

7月1日，在老牌漏洞披露平台Full Disclosure出现了一封写给微信支付的公开信。发件人是Rose Jackcode，信的标题是《微信支付官方SDK的XXE安全漏洞（微信支付在商户页面遗留了一个后门）》。

发表在漏洞披露平台Full Disclosure上的公开信

发件人Rose Jackcode在信中称，他在微信支付官方SDK（软件工具开发包）发现了一个安全漏洞，此漏洞可导致商家服务器被入侵，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。

在使用微信支付时，商家需要提供通知网址以接受异步支付结果。问题是微信在JAVA版本SDK中的实现存在一个XXE漏洞。攻击者可以向通知URL构建恶意payload，根据需要窃取商家服务器的任何信息。换句话说，黑客利用微信支付的这个漏洞，能实现0元买买买的情况。

为了让大家信服，Rose Jackcode还贴出了两张代码截图，展示出漏洞利用的过程，中招者是 Vivo和陌陌。

陌陌中招

vivo中招

那么他提到的XXE漏洞到底是什么呢？资料显示，XXE漏洞即XML外部实体注入漏洞，它通常发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起DOS攻击等危害。简单说就是使用XML后的引用不规范导致的问题。

值得注意的是，目前漏洞的详细信息以及攻击方式已被公开，安全人员建议使用 JAVA语言 SDK（软件开发工具包）开发微信支付功能的商户，快速检查并修复。据白帽汇安全总监“BaCde”向雷锋网透露，由于微信官方的SDK有问题，目前所有使用基于微信支付JAVA SDK开发的微信支付功能都可能受影响。

但是为什么Vivo和陌陌会受影响？一个是手机厂商，一个是社交软件，似乎和微信支付没有直接关联。

BaCde解释，Vivo可能是因为其在线商城，比如黑客可以用微信支付不花一分钱来买走在线商城的东西。而对于陌陌中招，则有可能是因为它可以通过微信支付进行会员充值，也有漏洞可以利用。

雷锋网称，虽然这篇在国外网站上的披露文章是英文的，但是其技术人员用了中文的标点符号，很有可能是国内的技术人员冒充外国人发的攻击详情。

针对此漏洞，微信支付方面未发布相关安全公告。腾讯方面在向媒体回应时表示，“微信支付技术安全团队已第一时间关注及排查，并于今天中午对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。请大家放心使用微信支付。”

标签微信手机支付漏洞
- 请支持独立网站，转发请注明本文链接：
- 责任编辑:陈燕妮
- 最后更新: 2018-07-04 13:06:25
小编最近文章

全球卖！双11中国品牌开启进击新模式2017-10-27

皮尤调查：特朗普上台后大家越来越不待见美国了2017-07-07

外媒赞叹深圳交通：这是一场革命2017-06-29

这话给谁听？刘强东怼社交电商：假货太多便宜没好货2018-06-07

俄总统新闻秘书：指责特朗普不够格是“精神分裂般的胡说”2017-07-11
- 抖音印尼被禁，抖音好友小程序上线当日即被腾讯叫停
  
  2018-07-04 11:36
- 李彦宏去年吹的“7月量产无人车”，现在实现了
  
  2018-07-04 11:19 BAT
- OLED电视或能降价30% 印刷式OLED成秘密武器
  
  2018-07-04 08:30
- 腾讯和孩子的游戏战争
  
  2018-07-04 08:20
- 中兴被暂时部分解禁：针对已开展业务公司期限一个月
  
  2018-07-04 08:17
- 李志诉腾讯视频明日之子侵权向节目组及毛不易索赔300万
  
  2018-07-03 21:08
- 戴尔三星召回笔记本电池存短路或致过热起火
  
  2018-07-03 21:02
- 中国手机市场迎来大洗牌！这些品牌手机“拼了”
  
  2018-07-03 20:47
- 菜鸟智能物流骨干网布局比利时? 当地媒体称将成巨大推动力
  
  2018-07-03 20:42
- 传蚂蚁金服1亿美元投资雪球网双方不予置评
  
  2018-07-03 20:03
- 抖音上线“抖音好友”微信小程序首日即暂停服务
  
  2018-07-03 19:35
- 90后滴滴司机为陌生白血病女孩一个月狂瘦12斤背后真相让人感动
  
  2018-07-03 18:30
- 支付宝、银联、网联的暗战
  
  2018-07-03 18:07
- 伊利要求101女团满足销量才签约被粉丝诟病“吃相难看”
  
  2018-07-03 17:33
- 22年老物流赌上全部身家做快递，德邦为何转型？
  
  2018-07-03 17:06
- 美国500强公司名单公布：苹果下滑至第四亚马逊首进前十
  
  2018-07-03 17:04
- 撕开科技的外衣，京东金融还是那家“牌照荒”的金融公司
  
  2018-07-03 13:50
- 从最后1000米到0米：菜鸟黑科技天团出道
  
  2018-07-03 12:03
- 腾讯音乐被传7月6日赴美提交IPO申请书估值超300亿
  
  2018-07-03 11:41
- 联想控股耗资约15亿欧元收购卢森堡国际银行
  
  2018-07-03 11:41
搜索

● 观察者头条 ●
41名中国遇难者13个是儿童船长否认指控

 姚明刚刚大学毕业，这是他的感悟

 这片子观众少到没评分，却看透日本如何培养队长小翼

 泰沉船事故致42人遇难为何一上船就收走救生衣？

四强水落石出新王加冕还是青春至上？

风闻 · 24小时最热查看全部>>

最新视频
最新闻 Hot
快讯

0元就能买买买微信支付官方SDK被曝严重漏洞 Vivo陌陌中招

小编最近文章

抖音印尼被禁，抖音好友小程序上线当日即被腾讯叫停

李彦宏去年吹的“7月量产无人车”，现在实现了

OLED电视或能降价30% 印刷式OLED成秘密武器

腾讯和孩子的游戏战争

中兴被暂时部分解禁：针对已开展业务公司期限一个月

李志诉腾讯视频明日之子侵权向节目组及毛不易索赔300万

戴尔三星召回笔记本电池存短路或致过热起火

中国手机市场迎来大洗牌！这些品牌手机“拼了”

菜鸟智能物流骨干网布局比利时? 当地媒体称将成巨大推动力

传蚂蚁金服1亿美元投资雪球网双方不予置评

抖音上线“抖音好友”微信小程序首日即暂停服务

90后滴滴司机为陌生白血病女孩一个月狂瘦12斤背后真相让人感动

支付宝、银联、网联的暗战

伊利要求101女团满足销量才签约被粉丝诟病“吃相难看”

22年老物流赌上全部身家做快递，德邦为何转型？

美国500强公司名单公布：苹果下滑至第四亚马逊首进前十

撕开科技的外衣，京东金融还是那家“牌照荒”的金融公司

从最后1000米到0米：菜鸟黑科技天团出道

腾讯音乐被传7月6日赴美提交IPO申请书估值超300亿

联想控股耗资约15亿欧元收购卢森堡国际银行

《科学》揭露美国医药审查黑幕或许证实了你的猜想

这片子观众少到没评分，却看透日本如何培养队长小翼

“仗势欺人美国佬”加渔船在争议水域被美巡逻队拦下

泰沉船事故致42人遇难为何一上船就收走救生衣？

靠香港群众的捐款，他在内地做了件了不起的事

独立日，自由女神像上的抗议者被捕

印航回应改成“中国台北”：外交部指示

“为什么美国不直接入侵委内瑞拉呢？”

“美关税清单200多亿由外资生产美企占相当比例”

英媒在美独立日发文美国人上去就怼

只是觉得好玩？男子在上海地铁多次点火烧纸被刑拘

日本老牌女子大学将招收男生：只要内心是妹子就行

最近美国高官吃个饭真是坎坷

亲妈把孩子罩在凳下打麻将？警方回应来了

有这样一个“阴谋论”在美国疯传…

我，默克尔，不慌了！真的吗？

0元就能买买买 微信支付官方SDK被曝严重漏洞 Vivo陌陌中招

小编最近文章

0元就能买买买微信支付官方SDK被曝严重漏洞 Vivo陌陌中招