随着移动支付的普及,微信支付已慢慢的深入我们生活的方方面面了,就连街边的小吃摊都不忘放上一个收款二维码,可以说是非常方便了。随着微信支付逐渐向海外扩展,越来越多的外国人也开始使用微信支付。
近日,有国外网友白帽子发现通过微信支付,可以不花钱就能购物。非常有趣的是,这位网友因为不知道怎么联系微信微信安全的人员,竟然在Twitter上@360NetLab。在360安全人员转达漏洞之后,微信安全团队已经及时跟进处理这个问题。
根据白帽子给出的漏洞描述,使用微信支付时,商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。 一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),就可以通过发送伪造信息来欺骗商家购买任何东西而无需付费。据曝光的演示视频来看,目前明确陌陌、vivo已经验证被该漏洞影响
不少网友听闻这个消息之后,表示还是支付宝靠得住,在这里不得不表扬支付宝,安全可靠,同时还给我们提供了很多便利的功能,比如说余额宝、乐邀帮帮、借呗、城市服务等,大大提高了我们的生活幸福指数
腾讯方面在向媒体回应时表示,“微信支付技术安全团队已第一时间关注及排查,并于今天中午对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。请大家放心使用微信支付。”
不知道对于此次微信支付出现的漏洞,各位老铁们怎么看,欢迎在评论区留言!
| 留言与评论(共有 0 条评论) |
