原標題：0元就能買買買 微信支付官方SDK被曝嚴重漏洞 Vivo陌陌中招

7月1日，在老牌漏洞披露平臺Full Disclosure出現(xiàn)了一封寫給微信支付的公開信,。發(fā)件人是Rose Jackcode,，信的標題是《微信支付官方SDK的XXE安全漏洞(微信支付在商戶頁面遺留了一個后門)》。

微信支付被曝漏洞 0元就能買買買 Vivo陌陌中招" src="https://img2.utuku.china.com/650x0/news/20180704/054548c9-648f-46d1-8605-25f353f65abf.png" width="530" height="423"/>

發(fā)表在漏洞披露平臺Full Disclosure上的公開信

發(fā)件人Rose Jackcode在信中稱,，他在微信支付官方SDK(軟件工具開發(fā)包)發(fā)現(xiàn)了一個安全漏洞,，此漏洞可導(dǎo)致商家服務(wù)器被入侵，一旦攻擊者獲得商家的關(guān)鍵安全密鑰,，就可以通過發(fā)送偽造信息來欺騙商家而無需付費購買任何東西,。

在使用微信支付時，商家需要提供通知網(wǎng)址以接受異步支付結(jié)果,。問題是微信在JAVA版本SDK中的實現(xiàn)存在一個XXE漏洞,。攻擊者可以向通知URL構(gòu)建惡意payload，根據(jù)需要竊取商家服務(wù)器的任何信息,。換句話說,，黑客利用微信支付的這個漏洞，能實現(xiàn)0元買買買的情況,。

為了讓大家信服,，Rose Jackcode還貼出了兩張代碼截圖,，展示出漏洞利用的過程，中招者是 Vivo和陌陌,。

陌陌中招

vivo中招

那么他提到的XXE漏洞到底是什么呢?資料顯示,，XXE漏洞即XML外部實體注入漏洞，它通常發(fā)生在應(yīng)用程序解析XML輸入時,，沒有禁止外部實體的加載,，導(dǎo)致可加載惡意外部文件，造成文件讀取,、命令執(zhí)行,、內(nèi)網(wǎng)端口掃描、攻擊內(nèi)網(wǎng)網(wǎng)站,、發(fā)起DOS攻擊等危害,。簡單說就是使用XML后的引用不規(guī)范導(dǎo)致的問題。

值得注意的是,，目前漏洞的詳細信息以及攻擊方式已被公開,，安全人員建議使用 JAVA語言 SDK(軟件開發(fā)工具包)開發(fā)微信支付功能的商戶，快速檢查并修復(fù),。據(jù)白帽匯安全總監(jiān)“BaCde”向雷鋒網(wǎng)透露,，由于微信官方的SDK有問題，目前所有使用基于微信支付JAVA SDK開發(fā)的微信支付功能都可能受影響,。

但是為什么Vivo和陌陌會受影響?一個是手機廠商,，一個是社交軟件，似乎和微信支付沒有直接關(guān)聯(lián),。

BaCde解釋,，Vivo可能是因為其在線商城，比如黑客可以用微信支付不花一分錢來買走在線商城的東西,。而對于陌陌中招,，則有可能是因為它可以通過微信支付進行會員充值，也有漏洞可以利用,。

雷鋒網(wǎng)稱,，雖然這篇在國外網(wǎng)站上的披露文章是英文的，但是其技術(shù)人員用了中文的標點符號,，很有可能是國內(nèi)的技術(shù)人員冒充外國人發(fā)的攻擊詳情,。

針對此漏洞，微信支付方面未發(fā)布相關(guān)安全公告,。騰訊方面在向媒體回應(yīng)時表示,，“微信支付技術(shù)安全團隊已第一時間關(guān)注及排查，并于今天中午對官方網(wǎng)站上該SDK漏洞進行更新，修復(fù)了已知的安全漏洞,，并在此提醒商戶及時更新,。請大家放心使用微信支付?！?/p>