近日,有網友在國外安全社區公佈了微信支付存在的嚴重漏洞。利用此漏洞,可侵入商家服務器。一旦攻擊者獲得商家的安全密鑰,就可以通過發送偽造信息來欺騙商家,購買任何東西都無需付費。
這位小哥還得意地曬出了利用該漏洞在vivo和陌陌上免費消費的過程。
支付漏洞在vivo上的利用過程
支付漏洞在陌陌上的利用過程
可是,這不禁讓我們感到疑惑,為什麼這位小哥不利用此漏洞悶聲發大財,卻要把它公佈出來呢?
直接公開這種級別的大殺器確實太不尋常,據白帽匯創始人趙武推測,他這樣做的原因,可能是黑客在利用漏洞的過程中,發現痕跡擦不乾淨,有可能被查出來。所以馬上對外公佈,讓廣大黑客群體發起攻擊,以便淹沒自己最初的攻擊,達到隱藏自己的效果。
另外,值得注意的是,雖然這篇文章是用英文在國外網站上披露的,但是文章裡卻出現了中文的標點符號,很有可能是國內的技術人員冒充外國人發的。
目前,該漏洞在推特上也有安全人員提出來了,這位仁兄可能不認識騰訊的安全小哥,而找了360的人,然後360的安全人員把漏洞的鏈接發給了騰訊的人。騰訊安全響應中心的人進行了回覆,表示正在處理。
分享到:
閱讀更多 大城居不易 的文章
