微信支付被曝漏洞是真的嗎?7月3日，據(jù)白帽匯安全研究院的消息，有網(wǎng)友在國(guó)外的安全社區(qū)公布了微信支付官方SDK(軟件工具開(kāi)發(fā)包)存在的嚴(yán)重漏洞!具體細(xì)節(jié)我們一起來(lái)看看下文!

微信支付有什么漏洞修復(fù)了嗎

此漏洞可導(dǎo)致商家服務(wù)器被入侵，一旦攻擊者獲得商家的關(guān)鍵安全密鑰，就可以通過(guò)發(fā)送偽造信息來(lái)欺騙商家而無(wú)需付費(fèi)購(gòu)買(mǎi)任何東西。

在使用微信支付時(shí)，商家需要提供通知網(wǎng)址以接受異步支付結(jié)果。 問(wèn)題是微信在JAVA版本SDK中的實(shí)現(xiàn)存在一個(gè)xxe漏洞。 攻擊者可以向通知URL構(gòu)建惡意payload，根據(jù)需要竊取商家服務(wù)器的任何信息。

換句話說(shuō)，黑客利用微信支付的這個(gè)漏洞，能實(shí)現(xiàn)0元買(mǎi)買(mǎi)買(mǎi)的情況。

這并不是說(shuō)說(shuō)而已，這位網(wǎng)友還直接甩出了兩張圖，展示出漏洞利用的過(guò)程，中招者是vivo和陌陌。

▲陌陌的微信支付漏洞利用過(guò)程

▲vivo的微信支付漏洞利用過(guò)程

該網(wǎng)友還曬出了如何利用漏洞進(jìn)行消費(fèi)的截圖，演示中使用的vivo和陌陌。利用這個(gè)漏洞，黑客可以購(gòu)買(mǎi)商品，并有泄露用戶信息的風(fēng)險(xiǎn)。

對(duì)此，微信支付方面未發(fā)布相關(guān)安全公告。騰訊方面在向媒體回應(yīng)時(shí)表示，“微信支付技術(shù)安全團(tuán)隊(duì)已第一時(shí)間關(guān)注及排查，并于今天中午對(duì)官方網(wǎng)站上該SDK漏洞進(jìn)行更新，修復(fù)了已知的安全漏洞，并在此提醒商戶及時(shí)更新。請(qǐng)大家放心使用微信支付。”

值得注意的是，目前漏洞的詳細(xì)信息以及攻擊方式已被公開(kāi)，安全人員建議使用JAVA語(yǔ)言SDK(軟件開(kāi)發(fā)工具包)開(kāi)發(fā)微信支付功能的商戶，快速檢查并修復(fù)。(此處解釋一下，微信官方發(fā)布了自己的微信支付開(kāi)發(fā)包，許多開(kāi)發(fā)人員選擇使用官方最新版本，一般來(lái)講，SDK是按照編程語(yǔ)言區(qū)分，如果網(wǎng)站使用的是同一種語(yǔ)言，那么其開(kāi)發(fā)使用的也就是對(duì)應(yīng)種語(yǔ)言。但也有特殊情況，就是不使用官方的開(kāi)發(fā)包，而使用開(kāi)源的或自行開(kāi)發(fā)的，這樣相對(duì)較少。)