手机版 | 登陆 | 注册 | 留言 | 设首页 | 加收藏
当前位置: 网站首页 > 事件 > 文章 当前位置: 事件 > 文章

微信支付大家小心了,今天微信支付被曝有漏洞

时间:2018-07-04    点击: 次    来源:网络    作者:618 - 小 + 大

微信支付大家小心了,今天微信支付被曝有漏洞

随着无现金支付方式越来越普及现在大家出门都不需要带钱包了。
(钱包里就没有放过钱所谓"手机在手,天下我有"无论超市、餐厅还是公交连菜市场都可以用扫码支付

白帽汇安全研究院的消息,有网友在国外的安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞,此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),他就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。


在使用微信支付时,商家需要提供通知网址以接受异步支付结果。问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。

商户、用户和黑客

如果你是一名商户,会有哪些影响?

以在线商城的商户为例,如果你所应用的语言是JAVA(目前漏洞针对的是JAVA),接入微信支付功能的第一步,首先要在微信的官方网站找到JAVA语言的SDK开发包,当开发人员编写不规范而开发出有漏洞的微信支付功能,黑客发现后,就可通过窃取商户信息,进而伪造网络请求进行0元购买商品的操作,以及获取数据信息。

这里要强调一下,虽然这里的开发人员是商户的开发人员,但其根本原因还是由于微信支付的SDK在某处存在安全问题,所以要解决漏洞,还得从官方的SDK来解决。



如果我是普通的用户呢?

最直接的影响就是,你在商家后台的用户信息已经被暴露了,而黑客拿到这些信息可以去暗网上兜售。紧接着,你成为了垃圾信息的受害者。

也就是说,所有使用微信支付官方SDK的商户,并且语言是JAVA的,都还处于被攻击的危险之中。
虽然目前该漏洞影响的是JAVA版本的SDK,但历史上已经出现过PHP版本的SDK存在同样的漏洞。据BaCde透露,这次的漏洞是XML外部实体注入漏洞,即当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

值得注意的是,虽然这篇在国外网站上的披露文章是英文的,但是其技术人员用了中文的标点符号,很有可能是国内的技术人员冒充外国人发的攻击详情。

上一篇:湖南·湘乡薰山村·雷祖殿,八旬老人凿山18年修建

下一篇:微信信用卡还款要收手续费了

备案ICP编号  |   QQ:516040282  |  地址:中国.长沙市南二环306号-兴威1-2007室  |  电话:0731-84812133  |  
Copyright © 2018 天人文章管理系统 版权所有,授权www.618jie.com/使用 Powered by 55TR.COM