您現(xiàn)在的位置:海峽網(wǎng)>新聞中心>動(dòng)漫游戲>游戲頻道>游戲花邊
分享

商戶、用戶和黑客

如果你是一名商戶,會(huì)有哪些影響?

以在線商城的商戶為例,如果你所應(yīng)用的語(yǔ)言是JAVA(目前漏洞針對(duì)的是JAVA),接入微信支付功能的第一步,首先要在微信的官方網(wǎng)站找到JAVA語(yǔ)言的SDK開(kāi)發(fā)包,當(dāng)開(kāi)發(fā)人員編寫不規(guī)范而開(kāi)發(fā)出有漏洞的微信支付功能,黑客發(fā)現(xiàn)后,就可通過(guò)竊取商戶信息,進(jìn)而偽造網(wǎng)絡(luò)請(qǐng)求進(jìn)行0元購(gòu)買商品的操作,以及獲取數(shù)據(jù)信息。

這里要強(qiáng)調(diào)一下,雖然這里的開(kāi)發(fā)人員是商戶的開(kāi)發(fā)人員,但其根本原因還是由于微信支付的SDK在某處存在安全問(wèn)題,所以要解決漏洞,還得從官方的SDK來(lái)解決。

如果我是普通的用戶呢?

最直接的影響就是,你在商家后臺(tái)的用戶信息已經(jīng)被暴露了,而黑客拿到這些信息可以去暗網(wǎng)上兜售。緊接著,你成為了垃圾信息的受害者。

而對(duì)于黑客來(lái)說(shuō),通過(guò)這個(gè)漏洞,不僅可以0元買買買,還可以通過(guò)倒賣用戶信息小賺一筆。

漏洞影響

雷鋒網(wǎng)發(fā)現(xiàn),目前,陌陌和vivo已經(jīng)修復(fù)了相關(guān)的漏洞,但針對(duì)此漏洞,微信官方并未發(fā)布相關(guān)安全公告,也沒(méi)有更新微信支付的SDK版本。

也就是說(shuō),所有使用微信支付官方SDK的商戶,并且語(yǔ)言是JAVA的,都還處于被攻擊的危險(xiǎn)之中。

那既然微信官方都沒(méi)修復(fù),陌陌和vivo是怎么修復(fù)的?

BaCde解釋,陌陌和vivo本身有相應(yīng)的安全能力,可以修改SDK的相應(yīng)代碼進(jìn)行修復(fù),自行解決。但如果是一些小的商戶,就沒(méi)有這個(gè)能力了。

據(jù)悉,雖然目前該漏洞影響的是JAVA版本的SDK,但歷史上已經(jīng)出現(xiàn)過(guò)PHP版本的SDK存在同樣的漏洞。據(jù)BaCde透露,這次的漏洞是XML外部實(shí)體注入漏洞,即當(dāng)允許引用外部實(shí)體時(shí),通過(guò)構(gòu)造惡意內(nèi)容,可導(dǎo)致讀取任意文件、執(zhí)行系統(tǒng)命令、探測(cè)內(nèi)網(wǎng)端口、攻擊內(nèi)網(wǎng)網(wǎng)站等危害。

對(duì)于攻擊者來(lái)說(shuō),這么好的賺錢機(jī)會(huì),悶聲發(fā)大財(cái)就好了,為什么要選擇公開(kāi)攻擊方式?

據(jù)白帽匯創(chuàng)始人趙武推測(cè),直接公開(kāi)這種級(jí)別的大殺器確實(shí)太不尋常,他這樣做的原因,不排除是黑客在利用漏洞的過(guò)程中發(fā)現(xiàn)痕跡擦不干凈,有可能被查出來(lái),所以馬上對(duì)外公布,讓廣大黑客群體發(fā)起攻擊,以便淹沒(méi)自己最初的攻擊,達(dá)到隱藏自己的效果。

值得注意的是,雖然這篇在國(guó)外網(wǎng)站上的披露文章是英文的,但是其技術(shù)人員用了中文的標(biāo)點(diǎn)符號(hào),很有可能是國(guó)內(nèi)的技術(shù)人員冒充外國(guó)人發(fā)的攻擊詳情。

0元就能買買買 微信支付官方SDK被曝嚴(yán)重漏洞

微信支付被曝漏洞

騰訊已經(jīng)知曉漏洞

目前,雷鋒網(wǎng)發(fā)現(xiàn),該漏洞在推特上也有安全人員提出來(lái)了,這位仁兄可能不太認(rèn)識(shí)騰訊的安全小哥,直接@360來(lái)尋人,然后360把漏洞的鏈接發(fā)給了騰訊的人,認(rèn)證為騰訊安全響應(yīng)中心的人也在推特下面進(jìn)行了回復(fù),表示正在處理。

0元就能買買買 微信支付官方SDK被曝嚴(yán)重漏洞

微信支付被曝漏洞

責(zé)任編輯:劉微

       特別聲明:本網(wǎng)登載內(nèi)容出于更直觀傳遞信息之目的。該內(nèi)容版權(quán)歸原作者所有,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。如該內(nèi)容涉及任何第三方合法權(quán)利,請(qǐng)及時(shí)與ts@hxnews.com聯(lián)系或者請(qǐng)點(diǎn)擊右側(cè)投訴按鈕,我們會(huì)及時(shí)反饋并處理完畢。

最新游戲花邊 頻道推薦
進(jìn)入新聞?lì)l道新聞推薦
福州倉(cāng)山區(qū)舉辦垃圾分類公交線路啟動(dòng)儀
進(jìn)入圖片頻道最新圖文
進(jìn)入視頻頻道最新視頻
一周熱點(diǎn)新聞
下載海湃客戶端
關(guān)注海峽網(wǎng)微信
?

職業(yè)道德監(jiān)督、違法和不良信息舉報(bào)電話:0591-87095414 舉報(bào)郵箱:service@hxnews.com

本站游戲頻道作品版權(quán)歸作者所有,如果侵犯了您的版權(quán),請(qǐng)聯(lián)系我們,本站將在3個(gè)工作日內(nèi)刪除。

溫馨提示:抵制不良游戲,拒絕盜版游戲,注意自我保護(hù),謹(jǐn)防受騙上當(dāng),適度游戲益腦,沉迷游戲傷身,合理安排時(shí)間,享受健康生活。

CopyRight ?2016 海峽網(wǎng)(福建日?qǐng)?bào)主管主辦) 版權(quán)所有 閩ICP備15008128號(hào)-2 閩互聯(lián)網(wǎng)新聞信息服務(wù)備案編號(hào):20070802號(hào)

福建日?qǐng)?bào)報(bào)業(yè)集團(tuán)擁有海峽都市報(bào)(海峽網(wǎng))采編人員所創(chuàng)作作品之版權(quán),未經(jīng)報(bào)業(yè)集團(tuán)書面授權(quán),不得轉(zhuǎn)載、摘編或以其他方式使用和傳播。

版權(quán)說(shuō)明| 海峽網(wǎng)全媒體廣告價(jià)| 聯(lián)系我們| 法律顧問(wèn)| 舉報(bào)投訴| 海峽網(wǎng)跟帖評(píng)論自律管理承諾書

友情鏈接:新聞?lì)l道?| 福建頻道?| 新聞聚合