说起国内第三方支付的龙头企业，有料的第一个念头便是微信和支付宝。平日里，双方你来我往，争夺着市场份额，好不快哉。只是这回微信支付却栽了一个跟头，它被国外某网友爆出了重大漏洞，通过这个漏洞竟然可以实现0元网购的操作，这是怎么一回事？

微信支付官方SDK被爆严重漏洞

7月3日，有网友在国外安全社区公布了一则关于微信支付官网软件工具开发包存在严重漏洞的帖子，称此漏洞可导致商家服务器被入侵，获得关键安全密钥后，骇客即可肆意买买买而不需要付一分钱。

而这个问题主要存在于JAVA版本SDK中的实现存在一个xxe漏洞，攻击者可以向URL构建恶意payload，根据窃取商家服务器的任何信息。受此影响，中招的便有陌陌和vivo（随后已修复）。为了增强可信度，该网友甚至甩出了两张截图，展示漏洞利用的全过程。截图如下：

这样重大的漏洞出现后，立刻吸引了推特上一位名为“codeshtool”的安全人员的目光，他当即想向微信团队提交这个问题，但由于这位老兄并不认识腾讯的人，于是@了腾讯的对头，360希望帮忙转告一下。

虽然不知道当时360网络实验室看到此条链接的心情是怎么样的，但360网络实验室还是很快的联系了腾讯的小伙伴，并对codeshtool反馈道：我们已经分享了这个链接，希望微信团队尽快对此进行调查。

随后，腾讯安全响应中心人员的一位小伙伴在一个小时内回复了360网络实验室以及codeshtool，表示：微信团队正紧急处理它，并且如果您将来有微信漏洞，可以联系我（微信团队）。谢谢。

紧接着，微信支付官方在修复好该漏洞后，又在7月3日发表了一则通知，向广大的微信支付商户发出了警告，同时给予了修复XML解析存在安全问题指引的解决方案，事情到此便告一段落。

点赞、关注、转发，是对有料最大的支持！