您現(xiàn)在的位置:海峽網(wǎng)>新聞中心>動(dòng)漫游戲>游戲頻道>游戲花邊
分享

7月3日,據(jù)白帽匯安全研究院的消息,有網(wǎng)友在國外的安全社區(qū)公布了微信支付官方SDK(軟件工具開發(fā)包)存在的嚴(yán)重漏洞,此漏洞可導(dǎo)致商家服務(wù)器被入侵,一旦攻擊者獲得商家的關(guān)鍵安全密鑰(md5-key和merchant-Id等),他就可以通過發(fā)送偽造信息來欺騙商家而無需付費(fèi)購買任何東西。

0元就能買買買 微信支付官方SDK被曝嚴(yán)重漏洞

微信支付被曝漏洞

在使用微信支付時(shí),商家需要提供通知網(wǎng)址以接受異步支付結(jié)果。問題是微信在JAVA版本SDK中的實(shí)現(xiàn)存在一個(gè)xxe漏洞。攻擊者可以向通知URL構(gòu)建惡意payload,根據(jù)需要竊取商家服務(wù)器的任何信息。

換句話說,黑客利用微信支付的這個(gè)漏洞,能實(shí)現(xiàn)0元買買買的情況。

這并不是說說而已,這位網(wǎng)友還直接甩出了兩張圖,展示出漏洞利用的過程,中招者是vivo和陌陌。

0元就能買買買 微信支付官方SDK被曝嚴(yán)重漏洞

▲陌陌的微信支付漏洞利用過程

0元就能買買買 微信支付官方SDK被曝嚴(yán)重漏洞

▲vivo的微信支付漏洞利用過程

值得注意的是,目前漏洞的詳細(xì)信息以及攻擊方式已被公開,安全人員建議使用JAVA語言SDK(軟件開發(fā)工具包)開發(fā)微信支付功能的商戶,快速檢查并修復(fù)。(此處解釋一下,微信官方發(fā)布了自己的微信支付開發(fā)包,許多開發(fā)人員選擇使用官方最新版本,一般來講,SDK是按照編程語言區(qū)分,如果網(wǎng)站使用的是同一種語言,那么其開發(fā)使用的也就是對(duì)應(yīng)種語言。但也有特殊情況,就是不使用官方的開發(fā)包,而使用開源的或自行開發(fā)的,這樣相對(duì)較少。)

那么,微信支付的官方SDK究竟誰會(huì)用?范圍多大?為什么黑客選擇陌陌和vivo開刀?商家和用戶會(huì)受到哪些影響?知道這個(gè)漏洞的黑客為什么不自己“悶聲發(fā)大財(cái)”,而要選擇將攻擊方式公開?

誰會(huì)用到微信支付的SDK

文章開頭提到,這個(gè)漏洞是關(guān)于微信支付的官方SDK的,那究竟誰會(huì)用到此類SDK呢?

白帽匯安全總監(jiān)“BaCde”?告訴雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng)),所有需要開通微信支付的商家都很有可能用到!

比如,我們平時(shí)使用微信支付的時(shí)候,都會(huì)有一個(gè)付款的二維碼,或者網(wǎng)購的時(shí)候,也有微信的支付渠道。這就需要商家與微信支付建立一個(gè)專屬通道。以你去買面包為例,在你掃碼的瞬間,微信支付和商家的對(duì)話是這樣的:

微信支付:你是哪家店?

面包店:我是某某面包店,我的代號(hào)是***

微信支付:訂單是你生成的嗎?

面包店:是的。

微信支付:我收到了50塊,錢數(shù)對(duì)嗎?

面包店:對(duì)的。

微信支付:對(duì)的話你們訂單系統(tǒng)趕緊處理一下,人家付款成功了。

面包店:好的,這就處理。

這個(gè)過程叫“商戶回調(diào)接口”,也就是說,所有的商戶要想開通微信支付,不管是線上還是線下的,都需要通過與微信支付的這個(gè)接口來交流,這個(gè)接口有一套標(biāo)準(zhǔn)的定義,比如訂單號(hào)、用戶信息、價(jià)格等,最后有一個(gè)簽名來保證雙方交易的真實(shí)可靠。

這時(shí),微信官方為了方便商戶,一般都會(huì)有一個(gè)官方的SDK,來使得各家商戶更加順暢和安全地接入微信支付,這時(shí),這個(gè)SDK開發(fā)包就存在了這些商戶的服務(wù)器上,與此同時(shí),開發(fā)包的漏洞也就直接影響了商戶服務(wù)器的安全性。

如果有一天,黑客利用SDK上面的漏洞控制了商家的服務(wù)器,那么這些訂單狀態(tài)、用戶信息和價(jià)格等就很有可能被黑客拿走并且進(jìn)行篡改。

據(jù)BaCde透露,由于微信官方的SDK有問題,目前所有使用基于微信支付JAVA?SDK開發(fā)的微信支付功能都可能受影響。

那黑客為什么選擇陌陌和vivo來開刀呢?聽起來,這兩家一個(gè)是手機(jī)廠商,一個(gè)是社交軟件,和我們平時(shí)刷二維碼或者網(wǎng)購的某某商家還是有區(qū)別。

BaCde解釋,vivo這個(gè)可能是vivo的在線商城,比如黑客可以用微信支付不花一分錢來買走在線商城的東西。而對(duì)于陌陌中招,則有可能是因?yàn)樗梢酝ㄟ^微信支付進(jìn)行會(huì)員充值,也有漏洞可以利用。

所以,也許這名攻擊者是經(jīng)常用vivo手機(jī)的單身狗?

責(zé)任編輯:劉微

       特別聲明:本網(wǎng)登載內(nèi)容出于更直觀傳遞信息之目的。該內(nèi)容版權(quán)歸原作者所有,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。如該內(nèi)容涉及任何第三方合法權(quán)利,請(qǐng)及時(shí)與ts@hxnews.com聯(lián)系或者請(qǐng)點(diǎn)擊右側(cè)投訴按鈕,我們會(huì)及時(shí)反饋并處理完畢。

最新游戲花邊 頻道推薦
進(jìn)入新聞?lì)l道新聞推薦
福州倉山區(qū)舉辦垃圾分類公交線路啟動(dòng)儀
進(jìn)入圖片頻道最新圖文
進(jìn)入視頻頻道最新視頻
一周熱點(diǎn)新聞
下載海湃客戶端
關(guān)注海峽網(wǎng)微信
?

職業(yè)道德監(jiān)督、違法和不良信息舉報(bào)電話:0591-87095414 舉報(bào)郵箱:service@hxnews.com

本站游戲頻道作品版權(quán)歸作者所有,如果侵犯了您的版權(quán),請(qǐng)聯(lián)系我們,本站將在3個(gè)工作日內(nèi)刪除。

溫馨提示:抵制不良游戲,拒絕盜版游戲,注意自我保護(hù),謹(jǐn)防受騙上當(dāng),適度游戲益腦,沉迷游戲傷身,合理安排時(shí)間,享受健康生活。

CopyRight ?2016 海峽網(wǎng)(福建日?qǐng)?bào)主管主辦) 版權(quán)所有 閩ICP備15008128號(hào)-2 閩互聯(lián)網(wǎng)新聞信息服務(wù)備案編號(hào):20070802號(hào)

福建日?qǐng)?bào)報(bào)業(yè)集團(tuán)擁有海峽都市報(bào)(海峽網(wǎng))采編人員所創(chuàng)作作品之版權(quán),未經(jīng)報(bào)業(yè)集團(tuán)書面授權(quán),不得轉(zhuǎn)載、摘編或以其他方式使用和傳播。

版權(quán)說明| 海峽網(wǎng)全媒體廣告價(jià)| 聯(lián)系我們| 法律顧問| 舉報(bào)投訴| 海峽網(wǎng)跟帖評(píng)論自律管理承諾書

友情鏈接:新聞?lì)l道?| 福建頻道?| 新聞聚合