微信支付被曝漏洞 不付钱就能任意买任何东西 - 天气网
当前位置： &
微信支付被曝漏洞 不付钱就能任意买任何东西
微信支付被曝漏洞 不付钱就能任意买任何东西
天气网讯 & 你知道吗?微信上有一个大漏洞!这个漏洞是外国人发现的。微信支付被曝漏洞后，虽然还没有回应，但漏洞本身的详细情况却公布了，微信的该漏洞可以让人们不付钱就能任意的买任何东西。
7月1日，在老牌漏洞披露平台Full Disclosure出现了一封写给微信支付的公开信。发件人是Rose Jackcode，信的标题是《微信支付官方SDK的XXE安全漏洞(微信支付在商户页面遗留了一个后门)》
发件人Rose Jackcode在信中称，他在微信支付官方SDK(软件工具开发包)发现了一个安全漏洞，此漏洞可导致商家服务器被入侵，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。
在使用微信支付时，商家需要提供通知网址以接受异步支付结果。问题是微信在JAVA版本SDK中的实现存在一个XXE漏洞。攻击者可以向通知URL构建恶意payload，根据需要窃取商家服务器的任何信息。换句话说，黑客利用微信支付的这个漏洞，能实现0元买买买的情况。
为了让大家信服，Rose Jackcode还贴出了两张代码截图，展示出漏洞利用的过程，中招者是 Vivo和陌陌。
那么他提到的XXE漏洞到底是什么呢?资料显示，XXE漏洞即XML外部实体注入漏洞，它通常发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起DOS攻击等危害。简单说就是使用XML后的引用不规范导致的问题。
值得注意的是，目前漏洞的详细信息以及攻击方式已被公开，安全人员建议使用 JAVA语言 SDK(软件开发工具包)开发微信支付功能的商户，快速检查并修复。据白帽汇安全总监&BaCde&向雷锋网透露，由于微信官方的SDK有问题，目前所有使用基于微信支付JAVA SDK开发的微信支付功能都可能受影响。
但是为什么Vivo和陌陌会受影响?一个是手机厂商，一个是社交软件，似乎和微信支付没有直接关联。
BaCde解释，Vivo可能是因为其在线商城，比如黑客可以用微信支付不花一分钱来买走在线商城的东西。而对于陌陌中招，则有可能是因为它可以通过微信支付进行会员充值，也有漏洞可以利用。
雷锋网称，虽然这篇在国外网站上的披露文章是英文的，但是其技术人员用了中文的标点符号，很有可能是国内的技术人员冒充外国人发的攻击详情。
针对此漏洞，微信支付方面未发布相关安全公告。腾讯方面在向媒体回应时表示，&微信支付技术安全团队已第一时间关注及排查，并于今天中午对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。请大家放心使用微信支付。&
最新天气资讯推荐当前位置：
近日有网友在国外安全社区公布了微信支付官方SDK存在的严重漏洞，此漏洞可侵入商家服务器，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。▲陌陌的微信支付漏洞利用过程▲vivo的微信支付漏洞利用过程该网友还晒出了如何利用漏洞进行消费的截图，演示中使用的vivo和陌陌。利用这个漏洞，黑客可以购买商品，并有泄露用户信息的风险。目前，微信支付方面未发布相关安全公告。腾讯方面表示，微信支付技术安全团队已第一时间关注及排查，并于对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。
微信红包本是亲友间娱乐、交流的一种方式，但在一些微信群里，几块钱的红包却代表着数万块钱的输赢。许多人误认为“来钱快”而沉湎其中，实际上这是一个玩家必输的赌局。花样多 金额大“一轮赌博大概三四分钟，输赢从几千元到七八万元都有。”“一个群里有三...
&&32 次点击
不小心微信转账转错人，对方收了钱不还，甚至还删好友、拉黑。近日，广东黄先生微信转账8万元转错人的事情，引起社会广泛讨论。
由于无法掌握到当事人任何真实身份信息导致黄先生追讨无门，微信客服、公安、法院都表示无能为力。对此，腾讯公关部相关人员...
&&72 次点击
据黄先生介绍，自己搜索表妹的微信名“海阔天空”之后发现微信好友列表中出现了同样微信名、只是头像不一样的两个账号，当时着急赶车就随手转给了这个同名的陌生人。他说自己不认识对方，好像是通过扫一扫加上的。当天下午黄先生通过微信从银行卡里转了9笔共...
&&909 次点击
移动支付方式给好友间转账带来了便利，但这样的“乌龙”也时有发生：不小心转账转错了人，对方收了钱却不还钱，甚者删好友、拉黑。多数人首先想到的就是求助于客服，但当客服始终让你“与好友协商解决”的时候，你该怎么办?网友感叹，失手点错就只能自认倒霉...
&&647 次点击
微信支付被曝漏洞 购买任何东西无需付费 7月4日消息
近日有网友在国外安全社区公布了微信支付官方SDK存在的严重漏洞，此漏洞可侵入商家服务器，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。▲陌陌...
&&105 次点击
文章开头提到，这个漏洞是关于微信支付的官方SDK的，那究竟谁会用到此类SDK呢?所有需要开通微信支付的商家都很有可能用到!比如，我们平时使用微信支付的时候，都会有一个付款的二维码，或者网购的时候，也有微信的支付渠道。这就需要商家与微信支付建...
&&323 次点击
近日有网友在国外安全社区公布了微信支付官方SDK存在的严重漏洞，此漏洞可侵入商家服务器，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。▲陌陌的微信支付漏洞利用过程▲vivo的微信支付漏洞利用过程该...
&&287 次点击
最近网上微信对骂群火了，先是勇士骑士微信对骂群引发网友围观，勇士骑士粉丝对骂群为什么火？nba对骂群还带动了各种方言对骂群，一起来了解一下吧！
微信对骂群是怎么回事
最近网上一个球迷对骂群走红，因为群中对骂的画风...
&&212 次点击
今天起，微信执行新的朋友圈《外部链接内容管理规范》，对朋友圈分享内容分享规范进一步升级。识别码、口令类信息被禁止传播，此前使用口令码进行分享的淘宝受到影响，改为保存带有二维码的图片进行分享。&微信5月21日更新的《关于进一步升级朋...
&&77 次点击
5.18号，微信发布了一则关于进一步升级外链管理规则的公告，里面有关于微信永久封号新规定。我们来看一下。1. 规范特殊识别码、口令类信息传播为避免过度营销造成对用户的骚扰，朋友圈内不允许发布及传播具有识别、标记功能的特殊识别码、口令类信息。...
&&197 次点击微信支付被曝漏洞是怎么回事？微信支付漏洞可能很严重
微信支付被曝漏洞是怎么回事？微信支付有哪些漏洞？最近微信支付在网上被曝光了一些漏洞，被人直接买买买不用花钱，很多小伙伴对这个事情不是很清楚，大家都在问这个这个是怎么回事？有什么影响？小编就为大家详细的介绍下这个事情！
昨日，有用户在国外安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞，此漏洞可导致商家服务器被入侵，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。
该用户还晒出了如何利用漏洞进行买买买的截图，利用这个漏洞，黑客不仅可以 0 元购买，还有倒卖用户信息的可能。
对此，微信支付方面未发布相关安全公告。腾讯方面在向媒体回应时表示，&微信支付技术安全团队已第一时间关注及排查，并于中午对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。请大家放心使用微信支付。&
您可能也感兴趣:
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
Copyright (C)
All rights reserved. 京ICP证060517号/京ICP备号 京公网安备76号
TechWeb公众号
机情秀公众号微信支付被曝漏洞 无需付费就可购买任何东西
微信支付被曝漏洞 无需付费就可购买任何东西&IT之家7月4日消息&近日有网友在国外安全社区公布了微信支付官方SDK存在的严重漏洞，此漏洞可侵入商家服务器，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。
▲陌陌的微信支付漏洞利用过程
▲vivo的微信支付漏洞利用过程
该网友还晒出了如何利用漏洞进行消费的截图，演示中使用的vivo和陌陌。利用这个漏洞，黑客可以购买商品，并有泄露用户信息的风险。
目前，微信支付方面未发布相关安全公告。腾讯方面表示，微信支付技术安全团队已第一时间关注及排查，并于对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。
您可能也感兴趣:
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
Copyright (C)
All rights reserved. 京ICP证060517号/京ICP备号 京公网安备76号
TechWeb公众号
机情秀公众号}