微信支付漏洞是什么回事?

微信支付漏洞是什么回事?

听朋友说最近微信支付出了一个漏洞,只要掌握了这个漏洞不花钱就可以通过微信支付购买任何商品了,不知道是不是真的?希望各位老师介绍一下微信支付漏洞的具 查看全部

  • 回答数

    8

  • 浏览数

    5,639

8个回答 默认排序
  • 默认排序
  • 按时间排序

白帽汇安全研究院关注到国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵(绕过支付的效果)。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已有陌陌、vivo确认存在该漏洞),建议用到JAVA SDK的商户快速检查并修复。


目前,确认该漏洞(XXE漏洞)影响JAVA版本的SDK,历史上曾经也出现过PHP版本SDK存在同样的漏洞。


什么是XML外部实体注入(XML External Entity,简称XXE)?


当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

微信支付漏洞是什么回事?

漏洞影响


此次漏洞可使攻击者向通知URL 构建恶意有效payload,以便根据需要窃取商家服务器的任何信息。一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),他甚至可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。目前微信官方尚未对SDK进行修复。现已有momo、vivo已经验证被该漏洞影响。微信支付被广泛应用于各种支付场景。目前,该白帽子在没有通知厂商的情况就对外公布,至此,官方还没有发布相关补丁。提醒广大厂商检查自己的系统,及时进行修复,防止带来损失。


取消 评论

wsyhs 见习专家

随便,都是漏洞也没有关系,反正微信里面从来没有超过50块钱

取消 评论

从目前能看到的资料来分析,影响的是商户端系统,商户端系统应该禁用XXE,没禁用的话就是存在漏洞了。


取消 评论

微信支付Java SDK的高危XXE漏洞,可导致商家服务器被入侵,甚至可能被黑客利用,避开真实支付通道,利用伪造的支付成功数据来购买任意商品,而且攻击方式已经大规模传播。目前已经确认vivo、陌陌可以被成功利用该漏洞,但已经紧急修复。


利用这个漏洞,可以在微信支付交易过程,使用通知URL回传信息构造恶意数据,读取商家服务器信息,一旦攻击者获得商家的关键安全密钥md5-key,就可以通过发送伪造的信息来欺骗商家而无需付费购买任意商品。


微信支付漏洞是什么回事?

取消 评论

XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。是一种针对使用XML交互的Web应用程序的攻击方法。


受影响版本:

JAVA SDK,WxPayAPI_JAVA_v3


微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,攻击者可以构造恶意的回调数据(XML格式)来窃取商家服务器上的任何信息。一旦攻击者获得了关键支付的安全密钥(md5-key和商家信息,将可以直接实现0元支付购买任何商品)。当XML允许引用外部实体时,黑客可以通过构造恶意XML实体文件,实现远程读取任意系统文件、远程执行系统命令等一系列危险操作,严重危害商家服务器的系统安全。


目前,微信官方尚未对SDK进行修复,但漏洞利用信息以及攻击方式已被公开,影响范围巨大(已经披露出的有陌陌、vivo确认存在该漏洞),建议用到微信支付JAVA SDK的企业立刻开展自查并关注微信官方安全通告。

微信支付漏洞是什么回事?

取消 评论

8x2sf47920 编辑专家

此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。


在使用微信支付时,商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。


换句话说,黑客利用微信支付的这个漏洞,能实现0元买买买的情况。


这并不是说说而已,这位网友还直接甩出了两张图,展示出漏洞利用的过程,中招者是vivo和陌陌。


对此,微信支付方面未发布相关安全公告。腾讯方面在向媒体回应时表示,“微信支付技术安全团队已第一时间关注及排查,并于今天中午对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。请大家放心使用微信支付。”


值得注意的是,目前漏洞的详细信息以及攻击方式已被公开,安全人员建议使用JAVA语言SDK(软件开发工具包)开发微信支付功能的商户,快速检查并修复。(此处解释一下,微信官方发布了自己的微信支付开发包,许多开发人员选择使用官方最新版本,一般来讲,SDK是按照编程语言区分,如果网站使用的是同一种语言,那么其开发使用的也就是对应种语言。但也有特殊情况,就是不使用官方的开发包,而使用开源的或自行开发的,这样相对较少。)


取消 评论

wuyuaa1 编辑专家

游戏机

昨日,有用户在国外安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞,此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。


该用户还晒出了如何利用漏洞进行买买买的截图,利用这个漏洞,黑客不仅可以 0 元购买,还有倒卖用户信息的可能。


对此,微信支付方面未发布相关安全公告。腾讯方面在向媒体回应时表示,“微信支付技术安全团队已第一时间关注及排查,并于中午对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。请大家放心使用微信支付。”


取消 评论

7月3日,据白帽汇安全研究院的消息,有网友在国外的安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞,此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),他就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。

微信支付漏洞是什么回事?


取消 评论
ZOL问答 > 手机 > OPPO手机 > OPPO Find X(标准版/全网通 > 微信支付漏洞是什么回事?

举报

感谢您为社区的和谐贡献力量请选择举报类型

举报成功

经过核实后将会做出处理
感谢您为社区和谐做出贡献

微信支付漏洞是什么回事?

点击可定位违规字符位置
提示

确定要取消此次报名,退出该活动?