原標(biāo)題:0元就能買買買,,微信支付官方SDK被曝嚴(yán)重漏洞
又到月初了,你的花唄賬單還清了嗎,?
如果有人告訴你,,現(xiàn)在不用你花一分錢,就能在某些電商平臺隨便買,,你會相信嗎,?
恩,我知道聰慧的你,,是不會相信天上掉餡餅的~
那如果這個人是黑客呢,?
7月3日,據(jù)白帽匯安全研究院的消息,,有網(wǎng)友在國外的安全社區(qū)公布了微信支付官方SDK(軟件工具開發(fā)包)存在的嚴(yán)重漏洞,,此漏洞可導(dǎo)致商家服務(wù)器被入侵,一旦攻擊者獲得商家的關(guān)鍵安全密鑰(md5-key和merchant-Id等),,他就可以通過發(fā)送偽造信息來欺騙商家而無需付費(fèi)購買任何東西,。
微信支付被曝漏洞
在使用微信支付時,商家需要提供通知網(wǎng)址以接受異步支付結(jié)果,。問題是微信在JAVA版本SDK中的實(shí)現(xiàn)存在一個xxe漏洞,。攻擊者可以向通知URL構(gòu)建惡意payload,根據(jù)需要竊取商家服務(wù)器的任何信息,。
換句話說,,黑客利用微信支付的這個漏洞,能實(shí)現(xiàn)0元買買買的情況,。
這并不是說說而已,,這位網(wǎng)友還直接甩出了兩張圖,展示出漏洞利用的過程,,中招者是vivo和陌陌,。
▲陌陌的微信支付漏洞利用過程
▲vivo的微信支付漏洞利用過程
蘋果重大隱私漏洞 讓iPhone X借助FaceTime與iPhone XR用戶通話,結(jié)果卻是如此,,即用戶可以竊聽任何其他iPhone用戶的談話,,而對方則完全蒙在鼓里。