登录/注册

首页 文章 微信支付曝"0元购"漏洞,安全团队确认修复

微信支付曝"0元购"漏洞,安全团队确认修复

文章来源:

微信小程序

2018-07-05 15:14

7443

文章页标题下640*60

在微信小程序日益火爆的时代,引来不少商家进入小程序的时代,尤其是一些带有支付性质的商家,利用小程序这个中间枢纽,达到支付的功能。

7月3日,据白帽汇安全研究院的消息,有网友在国外的安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞,此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。黑客利用这个漏洞,还有倒卖用户信息的可能。

在使用微信支付时,商家需要提供通知网址以接受异步支付结果。问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。换句话说,黑客利用微信支付的这个漏洞,能实现0元买买买的情况。

对此,微信支付未发布相关安全公告。腾讯面向媒体作出回应,称微信支付技术安全团队已第一时间关注及排查,并于今天中午对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。

“0元买买买”这个微信bug虽然已经修复了,但是还是要提醒广大用户,关注此类问题。

微信支付曝"0元购"漏洞,安全团队确认修复 评分

发布小程序

文章投稿

投稿邮箱:

wuxiu@weilaihexun.com

官方微信

扫一扫关注 小程序官方微信

新浪微博

× test