您現在的位置: 首頁 > 微信營銷 > 個人微信 > 黑客利用微信支付漏洞,能實現0元買買買!!

黑客利用微信支付漏洞,能實現0元買買買!!

作者: 微信群 來源:www.rbecyc.tw 熱度:1718  時間:2018-07-04 11:54:49
微信支付已經深入百姓的生活,即使上菜市場也能微信支付了,真是方便消費。不花錢也能買東西,你信嗎?日前,有國外黑客指出微信支付漏洞,0元也能買買買……7月3日,據白帽

 微信支付已經深入百姓的生活,即使上菜市場也能微信支付了,真是方便消費。不花錢也能買東西,你信嗎?日前,有國外黑客指出微信支付漏洞,0元也能買買買……

    11.jpg

 微信支付被曝漏洞。移動支付時代初期,普及的最大阻礙就是人們對其安全性的懷疑。隨著時間的推移和使用范圍的擴大,大家開始認為,手機支付比每天帶現金上街更加安全。然而,近期微信支付爆出的漏洞,又喚起了人們最原始的擔憂。

7月3日,據白帽匯安全研究院的消息,有網友在國外的安全社區公布了微信支付官方SDK(軟件工具開發包)存在的嚴重漏洞,此漏洞可導致商家服務器被入侵,一旦攻擊者獲得商家的關鍵安全密鑰(md5-key和merchant-Id等),他就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。

陌陌的微信支付漏洞利用過程陌陌的微信支付漏洞利用過程

  

vivo的微信支付漏洞利用過程
vivo的微信支付漏洞利用過程vivo的微信支付漏洞利用過程

微信支付被曝漏洞

在使用微信支付時,商家需要提供通知網址以接受異步支付結果。問題是微信在JAVA版本SDK中的實現存在一個xxe漏洞。攻擊者可以向通知URL構建惡意payload,根據需要竊取商家服務器的任何信息。

換句話說,黑客利用微信支付的這個漏洞,能實現0元買買買的情況。

這并不是說說而已,這位網友還直接甩出了兩張圖,展示出漏洞利用的過程,中招者是vivo和陌陌。該網友還曬出了如何利用漏洞進行買買買的截圖,中招者是vivo和陌陌。利用這個漏洞,黑客不僅可以0元買買買,還有倒賣用戶信息的可能。

 該網友還曬出了如何利用漏洞進行買買買的截圖,中招者是vivo和陌陌。利用這個漏洞,黑客不僅可以0元買買買,還有倒賣用戶信息的可能。

  對此,微信支付方面未發布相關安全公告。騰訊方面在向媒體回應時表示,“微信支付技術安全團隊已第一時間關注及排查,并于今天中午對官方網站上該SDK漏洞進行更新,修復了已知的安全漏洞,并在此提醒商戶及時更新。請大家放心使用微信支付。”

對此,微信支付方面緊急發布公告,以下是公告內容。

尊敬的微信支付商戶:

您的系統在接受微信支付XML格式的商戶回調通知(支付成功通知、退款成功通知、委托代扣簽約/解約/扣款通知、車主解約通知)時,如未正確地進行安全設置或編碼,將會引入有較大安全隱患的XML 外部實體注入漏洞(XML External Entity Injection,簡稱 XXE)。
 

     有意思的是,白帽匯安全研究院發現,該用戶的報告中使用的頓號皆為中文全角符號,這說明,爆料人很有可能是中國人。眾所周知,大多數公司對于提交安全漏洞的人員都有獎勵。業內又觀點認為,爆料人之所以沒有和微信溝通,而是上外國論壇爆料,很可能是因為他利用了這個漏洞卻抹不掉痕跡,希望吸引黑客潮掩蓋自己。

  

熱詞搜索

登錄

使用微信帳號直接登錄,無需注冊

四川金7乐开奖历史