微信支付被曝漏洞 不付錢就能任意買任何東西

微信支付被曝漏洞 不付錢就能任意買任何東西

  你知道嗎?微信上有一個大漏洞!這個漏洞是外國人發現的。微信支付被曝漏洞後，雖然還沒有迴應，但漏洞本身的詳細情況卻公佈了，微信的該漏洞可以讓人們不付錢就能任意的買任何東西。

7月1日，在老牌漏洞披露平臺Full Disclosure出現了一封寫給微信支付的信。發件人是Rose Jackcode，信的標題是《微信支付官方SDK的XXE安全漏洞(微信支付在商戶頁面遺留了一個後門)》

發件人Rose Jackcode在信中稱，他在微信支付官方SDK(軟件工具開發包)發現了一個安全漏洞，此漏洞可導致商家服務器被入侵，一旦攻擊者獲得商家的關鍵安全密鑰，就可以透過發送僞造資訊來欺騙商家而無需付費購買任何東西。

在使用微信支付時，商家需要提供通知網址以接受異步支付結果。問題是微信在JAVA版本SDK中的實現存在一個XXE漏洞。攻擊者可以向通知URL構建惡意payload，根據需要竊取商家服務器的任何資訊。換句話說，黑客利用微信支付的這個漏洞，能實現0元買買買的情況。

爲了讓大家信服，Rose Jackcode還貼出了兩張代碼截圖，展示出漏洞利用的過程，中招者是 Vivo和陌陌。

那麼他提到的XXE漏洞到底是什麼呢?資料顯示，XXE漏洞即XML外部實體注入漏洞，它通常發生在應用程序解析XML輸入時，沒有禁止外部實體的加載，導致可加載惡意外部檔案，造成檔案讀取、命令執行、內網端口掃描、攻擊內網網站、發起DOS攻擊等危害。簡單說就是使用XML後的引用不規範導致的問題。

值得注意的是，目前漏洞的詳細資訊以及攻擊方式已被公開，安全人員建議使用 JAVA語言 SDK(軟件開發工具包)開發微信支付功能的商戶，快速檢查並修復。據白帽匯安全總監“BaCde”向雷鋒網透露，由於微信官方的SDK有問題，目前所有使用基於微信支付JAVA SDK開發的微信支付功能都可能受影響。

但是爲什麼Vivo和陌陌會受影響?一個是手機廠商，一個是社交軟件，似乎和微信支付沒有直接關聯。

BaCde解釋，Vivo可能是因爲其在線商城，比如黑客可以用微信支付不花一分錢來買走在線商城的東西。而對於陌陌中招，則有可能是因爲它可以透過微信支付進行會員充值，也有漏洞可以利用。

雷鋒網稱，雖然這篇在國外網站上的披露文章是英文的，但是其技術人員用了中文的標點符號，很有可能是國內的技術人員冒充外國人發的攻擊詳情。

針對此漏洞，微信支付方面未發佈相關安全公告。騰訊方面在向媒體迴應時表示，“微信支付技術安全團隊已第一時間關注及排查，並於今天中午對官方網站上該SDK漏洞進行更新，修復了已知的安全漏洞，並在此提醒商戶及時更新。請大家放心使用微信支付。”