近日,有网友在国外安全社区公布了微信支付存在的严重漏洞。利用此漏洞,可侵入商家服务器。一旦攻击者获得商家的安全密钥,就可以通过发送伪造信息来欺骗商家,购买任何东西都无需付费。
这位小哥还得意地晒出了利用该漏洞在vivo和陌陌上免费消费的过程。
支付漏洞在vivo上的利用过程
支付漏洞在陌陌上的利用过程
可是,这不禁让我们感到疑惑,为什么这位小哥不利用此漏洞闷声发大财,却要把它公布出来呢?
直接公开这种级别的大杀器确实太不寻常,据白帽汇创始人赵武推测,他这样做的原因,可能是黑客在利用漏洞的过程中,发现痕迹擦不干净,有可能被查出来。所以马上对外公布,让广大黑客群体发起攻击,以便淹没自己最初的攻击,达到隐藏自己的效果。
另外,值得注意的是,虽然这篇文章是用英文在国外网站上披露的,但是文章里却出现了中文的标点符号,很有可能是国内的技术人员冒充外国人发的。
目前,该漏洞在推特上也有安全人员提出来了,这位仁兄可能不认识腾讯的安全小哥,而找了360的人,然后360的安全人员把漏洞的链接发给了腾讯的人。腾讯安全响应中心的人进行了回复,表示正在处理。
分享到:
閱讀更多 大城居不易 的文章
