微信支付曝安全漏洞 無需付費購買任何東西

• 2018年7月4日 GuoMeng來源：雷鋒網(wǎng) Techweb 815 49
• 繁體

• 

  2018-2023年版微型打印機項目可行性研究報告

  《2018-2023年版微型打印機項目可行性研究報告》為中研普華公司獨家首創(chuàng)針對行業(yè)投資可行性研究咨詢服務(wù)的專項研究報告。報告分為：行業(yè)通用版、專業(yè)定制版。行業(yè)通用版是中研普華根據(jù)行業(yè)一般1...

近日有網(wǎng)友在國外安全社區(qū)公布了微信支付官方SDK存在的嚴重漏洞，此漏洞可侵入商家服務(wù)器，一旦攻擊者獲得商家的關(guān)鍵安全密鑰，就可以通過發(fā)送偽造信息來欺騙商家而無需付費購買任何東西。

微信支付曝安全漏洞 ?無需付費購買任何東西

如果有人告訴你，現(xiàn)在不用你花一分錢，就能在某些電商平臺隨便買，你會相信嗎?

恩，我知道聰慧的你，是不會相信天上掉餡餅的~

那如果這個人是黑客呢?

近日有網(wǎng)友在國外安全社區(qū)公布了微信支付官方SDK存在的嚴重漏洞，此漏洞可侵入商家服務(wù)器，一旦攻擊者獲得商家的關(guān)鍵安全密鑰，就可以通過發(fā)送偽造信息來欺騙商家而無需付費購買任何東西。

該網(wǎng)友還曬出了如何利用漏洞進行消費的截圖，演示中使用的vivo和陌陌。利用這個漏洞，黑客可以購買商品，并有泄露用戶信息的風險。

目前，微信支付方面未發(fā)布相關(guān)安全公告。騰訊方面表示，微信支付技術(shù)安全團隊已第一時間關(guān)注及排查，并于對官方網(wǎng)站上該SDK漏洞進行更新，修復了已知的安全漏洞，并在此提醒商戶及時更新。

商戶、用戶和黑客

如果你是一名商戶，會有哪些影響?

以在線商城的商戶為例，如果你所應用的語言是JAVA(目前漏洞針對的是JAVA)，接入微信支付功能的第一步，首先要在微信的官方網(wǎng)站找到JAVA語言的SDK開發(fā)包，當開發(fā)人員編寫不規(guī)范而開發(fā)出有漏洞的微信支付功能，黑客發(fā)現(xiàn)后，就可通過竊取商戶信息，進而偽造網(wǎng)絡(luò)請求進行0元購買商品的操作，以及獲取數(shù)據(jù)信息。

這里要強調(diào)一下，雖然這里的開發(fā)人員是商戶的開發(fā)人員，但其根本原因還是由于微信支付的SDK在某處存在安全問題，所以要解決漏洞，還得從官方的SDK來解決。

如果我是普通的用戶呢?

最直接的影響就是，你在商家后臺的用戶信息已經(jīng)被暴露了，而黑客拿到這些信息可以去暗網(wǎng)上兜售。緊接著，你成為了垃圾信息的受害者。

而對于黑客來說，通過這個漏洞，不僅可以0元買買買，還可以通過倒賣用戶信息小賺一筆。

延伸閱讀

推薦閱讀

猜您喜歡