現在移動支付在我國已經普遍流行,很多人基本出門就只帶一部手機,就可以滿足所有的消費需求。而商家為了迎合這種形勢也幾乎都在收銀處貼上了微信和支付寶的二維碼。因為不論是商家還是消費者都十分相信微信和支付寶是安全的。
但是沒想到昨天有消息傳出,說是微信支付出現了安全漏洞,該漏洞可導致商家服務器被繞過支付。並且,最先發現這個漏洞的是在一個國外的安全社區裡。
該用戶稱,微信在JAVA版本的SDK中提供callback回調功能,攻擊者可以構造惡意的回調數據來竊取商家服務器上的任何信息。一旦攻擊者獲得了關鍵支付的安全密鑰,將可以直接實現0元支付購買任何商品。該漏洞主要波及應用微信支付的各大商家,危害及可能產生的隱患非常之多。
但其實這項漏洞只針對使用了SDK的商家,不涉及沒有使用官方提供的Java版SDK的普通商家。而目前大部分商家並沒有使用SDK,並且服務器上沒有關鍵密鑰,也不會受到太大的影響。所以用戶也不用太過緊張。
問題出現後微信官方團隊已於第一時間對使用SDK的商家進行了通知,並迅速對該漏洞進行了修復。
今日,騰訊又做了進一步回覆稱,事實上,該漏洞為常見漏洞,只要在程序接收到XML數據進行解析之前,調用相關的函數關閉XML語言的上述特性即可有效防範和解決。目前已經啟動商戶的安全提示,提示商戶主動排查其自建系統是否存在該漏洞,並給出修復指引進行協助。並且騰訊表示,此次問題服務器端SDK的實際影響範圍不大,完全可控。所以商家也不必過度恐慌。
X職場整理報道
分享到:
閱讀更多 X職場 的文章
