• 首页
  • 扫码分期
  • 聚合支付
  • 移动支付
  • 微信支付
  • 云闪付
  • 第三方支付
  • 二维码支付

紧急!微信支付官方SDK被曝严重漏洞,可导致0元支付购买任何商品

本文来源:互联网 2018-07-05     浏览量:
导语:据雷锋网报道,7月3日白帽汇安全研究院称,有网友在国外的安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞。 此漏洞可导致商家服务器被入侵,一旦攻击者获得商....

据雷锋网报道,7月3日白帽汇安全研究院称,有网友在国外的安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞。

 

此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),他就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。

 

 

在使用微信支付时,商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。换句话说,黑客利用微信支付的这个漏洞,能实现0元买买买的情况。

 

援引雷锋网问题:对于攻击者来说,这么好的赚钱机会,闷声发大财就好了,为什么要选择公开攻击方式?

 

据白帽汇创始人赵武推测,直接公开这种级别的大杀器确实太不寻常,他这样做的原因,不排除是黑客在利用漏洞的过程中发现痕迹擦不干净,有可能被查出来,所以马上对外公布,让广大黑客群体发起攻击,以便淹没自己最初的攻击,达到隐藏自己的效果。

 

据了解,XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。是一种针对使用XML交互的Web应用程序的攻击方法。

 

当XML允许引用外部实体时,黑客可以通过构造恶意XML实体文件,实现远程读取任意系统文件、远程执行系统命令等一系列危险操作,严重危害商家服务器的系统安全。

 

据奇速盾消息,截至昨晚微信官方尚未对SDK进行修复,但漏洞利用信息以及攻击方式已被公开,影响范围巨大(已经披露出的有陌陌、vivo确认存在该漏洞,不过据了解陌陌和 vivo 已经修复了相关的漏洞),建议用到微信支付JAVA SDK的企业立刻开展自查并关注微信官方安全通告。

 

据悉,该漏洞在推特上也有安全人员提出来了,认证为腾讯安全响应中心的人也在推特下面进行了回复,表示正在处理。

 

 

漏洞详情:

 

 

利用细节:

免责条款:本文由聚合支付范儿(http://www.ijuhepay.com/juhezhifufaner)收集,为支付产业相关商业资讯,仅供参考,文章内容和图片均采集自互联网,不代表本平台观点,如有侵权,请联系删除。

相关文章
最新文章