這幾天瘋傳了一位名為1024rosecode的疑似外國安全人員在Twitter公開了一篇名為《微信支付SDK中的XXE漏洞 》(XXE in WeChat Pay Sdk ( WeChat leave a backdoor on merchant websites))的文章。
文章主要介紹了漏洞是如何產生的,攻擊者直接通過技術漏洞,能偽裝成微信支付平臺,可直接與用戶進行溝通,並向用戶提出一些非法的要求,比如直接發貨,資金轉帳等,如果用戶不能識別,有可能產生損失,這就是所謂的“零元購”。下面公佈的攻擊方法。
雖然這個漏洞後來經過披露,騰訊已經補上這個缺口,但這個漏洞不僅僅是影響到了微信支付,關鍵是如果商戶不能識別,將會丟失大量的商業機密和個人信息,經濟上還會有更大的損失。特別微信商戶有上千萬之多,一旦被不良黑客攻擊,損失將無法估量。不過許多商戶壓根就不知道有這麼回事,微信也沒有提醒大家注意,悄悄補上就行了。
不過小編認為,雖然騰訊和阿里是兩大巨頭,他們的技術不差上下,但在遊戲領域和聊天領域,騰訊肯定是老大。而在購物和支付領域,我覺得阿里巴巴要更勝一籌,所以大金額支付我還是選擇支付寶更安全,發紅包用微信。不知道大家怎麼看。
分享到:
閱讀更多 與非MONKEYS 的文章
