java好学吗_微信支付被曝漏洞 网友展示漏洞利用过程

还是在这个月初，你付清账单了吗？

如果有人告诉你，你现在可以在一些电子商务平台上免费购买，你会相信吗？

好吧，我知道你聪明，不会相信天上掉馅饼~

如果这个人是黑客呢？

7年3月3日，据白帽交易安全研究所称，一些网民在国外安全社区的微信支付官方软件开发工具包(SDK)中发布了一个严重的漏洞。此漏洞会导致商家服务器的入侵。一旦攻击者获得密钥安全密钥(md5密钥和商家标识等)。)中，他可以通过发送虚假信息来欺骗商家，而无需支付任何费用。

微信支付暴露漏洞

使用微信支付时，商户需要提供通知网站接受异步支付结果问题是微信在实现JAVA版本的SDK时存在xxe漏洞。攻击者可以构造一个恶意有效负载到通知网址，并根据需要从商家服务器窃取任何信息

换句话说，黑客可以利用微信支付中的这个漏洞来实现零元买入

这不只是说说而已。该网友还直接扔出两张照片，展示了剥削的过程。成功的候选人是活的和莫莫莫。

▲陌生人的微信支付漏洞利用流程

▲vivo的微信支付漏洞利用流程

值得注意的是，目前漏洞的详细情况和攻击方法已经公开。安全人员建议使用JAVA语言SDK(软件开发工具包)开发微信支付功能的商家应尽快检查并修复。(请在此说明，微信已经正式发布了自己的微信支付开发套件。许多开发者选择使用官方的最新版本。一般来说，SDK是根据编程语言来区分的。如果网站使用相同的语言，那么它的开发使用相应的语言然而，也有一些特殊的情况，在这些情况下，使用开源或自行开发的工具来代替相对较小的官方开发工具包。)

那么，谁会使用微信的官方SDK进行支付？范围是什么？为什么黑客选择陌生人和活体？什么会影响商家和用户？为什么知道这个漏洞的黑客不“在沉默中赚很多钱”而选择披露攻击方法呢？

谁会使用微信支付SDK

文章开头提到此漏洞与微信支付的官方SDK有关，那么谁会使用此SDK？

白帽交易所安全总监“巴克德”？告诉雷，()，所有需要开通微信支付的商户都有可能使用！

例如，当我们使用微信支付时，我们总是有一个支付二维码，或者在网上购物时，我们也有微信支付渠道。这就要求企业建立微信支付的专用渠道以你买面包为例。当您扫描代码时，微信支付与商户的对话如下:

微信支付:您来自哪个商店？

面包店:我是XXX面包店，我的代号是***

微信支付:你生成订单了吗？

面包店:是的

微信支付:我收到50元，钱对吗？

面包店:对

微信支付:如果你是对的，你的订单系统会很快处理。付款成功了

面包店:好的，我们会处理的

的流程称为“商户回拨界面”，即所有商户无论在线还是离线都需要与微信支付界面进行沟通，才能开通微信支付。该界面有一套标准定义，如订单号、用户信息、价格等。，最后有签名以保证双方交易的真实性和可靠性。

此时，微信官方通常有一个官方的SDK，方便商家更顺畅、更安全地使用微信支付。此时，SDK开发工具包存在于这些商家的服务器上。同时，开发工具包的漏洞直接影响到商家服务器的安全性。

如果有一天黑客利用SDK中的漏洞来控制商家的服务器，那么订单状态、用户信息和价格等。很可能被黑客拿走并篡改。

根据BaCde的说法，由于微信官方SDK的问题，目前所有基于微信的支付都使用JAVA？深发展开发的所有微信支付功能都可能受到影响

那么为什么黑客选择陌生人和活体来操作呢？听起来这两家公司都是手机制造商和社交软件公司，这与我们通常刷二维码或在网上购买的某某公司还是不同的。

BaCde解释说vivo可能是vivo的网上购物中心，例如，黑客可以用微信免费支付网上购物中心的东西。然而，对于陌生人来说，它有可能通过微信支付给其会员充值，同时也存在可以利用的漏洞。

那么，也许这个攻击者是一只经常使用活体手机的狗？

商人、用户和黑客

如果你是商人，会有什么影响？

以网上商城的商户为例。如果您使用的语言是JAVA(当前的漏洞是JAVA)，那么进入微信支付功能的第一步就是在微信的官方网站上找到JAVA语言的SDK开发包。当开发者不定期书写并开发易受攻击的微信支付功能时，黑客可以窃取商家信息，然后伪造网络购物请求并获取数据信息。

这里需要强调的是，虽然这里的开发者是商家的开发者，但根本原因是微信支付的SDK存在安全问题，所以要解决这个漏洞，必须使用官方的SDK来解决。

如果我是普通用户呢？

最直接的影响是你在商家背景下的用户信息被暴露了，黑客可以在黑网上得到它。然后，你成了垃圾邮件的受害者

对于黑客来说，通过这个漏洞，不仅可以0元买买买，而且还可以通过倒卖用户信息赚取小额利润

漏洞影响

雷锋网发现，目前莫言和vivo已经修复了相关漏洞，但是微信官方还没有针对此漏洞发布相关安全公告或更新微信支付的SDK版本

意味着所有使用微信支付官方软件开发工具包费用且语言为JAVA的商家仍有被攻击的危险。

那么既然微信还没有被正式修复，莫莫莫和活体是怎么修复的呢？

BaCde解释说，Momo和vivo都有自己的安全能力，可以修改相应的SDK代码来修复它们，自己解决它们。但是如果是小企业，就没有这样的能力

据报道，尽管当前的漏洞会影响软件开发工具包的JAVA版本，但历史上在软件开发工具包的PHP版本中也存在同样的漏洞。根据BaCde，此漏洞是一个XML外部实体注入漏洞，即当允许引用外部实体时，可以构造恶意内容，从而导致读取任意文件、执行系统命令、检测内部网端口、攻击内部网网站和其他危害

对于攻击者来说，这么好的赚钱机会，停止发财就好了，为什么选择公开攻击？

根据白帽交易所创始人吴钊的推测，直接披露这种级别的大杀手确实不常见。他这样做的原因并不排除黑客在利用漏洞的过程中发现了痕迹，而这些漏洞是无法清除的，也是可以被发现的。因此，它立即向公众公布，以便广大的黑客团体可以发起攻击，以淹没他们最初的攻击，并达到隐藏自己的效果。

值得注意的是，虽然这篇在国外网站上的披露文章是英文的，但其技术人员使用了中文标点符号，这可能是国内技术人员冒充外国人发送的攻击细节。

微信支付漏洞

腾讯已经知道了漏洞

。目前，雷锋网发现，泄密事件也是由安全人员在推特上提出的。这位朋友可能不太了解腾讯的安全兄弟，所以他直接去找了个人@360，然后360把泄露的链接发给了腾讯的人。被认证为腾讯安全响应中心的人也在推特上回应，称他们正在处理此事。

微信支付暴露漏洞