原標(biāo)題：0元就能買買買，微信支付官方SDK被曝嚴(yán)重漏洞

又到月初了,，你的花唄賬單還清了嗎,？

如果有人告訴你，現(xiàn)在不用你花一分錢,，就能在某些電商平臺(tái)隨便買,，你會(huì)相信嗎？

恩,，我知道聰慧的你,，是不會(huì)相信天上掉餡餅的~

那如果這個(gè)人是黑客呢？

7月3日,，據(jù)白帽匯安全研究院的消息，有網(wǎng)友在國(guó)外的安全社區(qū)公布了微信支付官方SDK（軟件工具開(kāi)發(fā)包）存在的嚴(yán)重漏洞,，此漏洞可導(dǎo)致商家服務(wù)器被入侵,，一旦攻擊者獲得商家的關(guān)鍵安全密鑰（md5-key和merchant-Id等），他就可以通過(guò)發(fā)送偽造信息來(lái)欺騙商家而無(wú)需付費(fèi)購(gòu)買任何東西,。

微信支付被曝漏洞

在使用微信支付時(shí),，商家需要提供通知網(wǎng)址以接受異步支付結(jié)果。問(wèn)題是微信在JAVA版本SDK中的實(shí)現(xiàn)存在一個(gè)xxe漏洞,。攻擊者可以向通知URL構(gòu)建惡意payload,，根據(jù)需要竊取商家服務(wù)器的任何信息。

換句話說(shuō),，黑客利用微信支付的這個(gè)漏洞,，能實(shí)現(xiàn)0元買買買的情況。

這并不是說(shuō)說(shuō)而已,，這位網(wǎng)友還直接甩出了兩張圖,，展示出漏洞利用的過(guò)程，中招者是vivo和陌陌,。

▲陌陌的微信支付漏洞利用過(guò)程

▲vivo的微信支付漏洞利用過(guò)程