支付之家网(WWW.ZFZJ.CN) 据雷锋网报道,7月3日白帽汇安全研究院称,有网友在国外的安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞。
此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),他就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。
在使用微信支付时,商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。换句话说,黑客利用微信支付的这个漏洞,能实现0元买买买的情况。
援引雷锋网问题:对于攻击者来说,这么好的赚钱机会,闷声发大财就好了,为什么要选择公开攻击方式?
据白帽汇创始人赵武推测,直接公开这种级别的大杀器确实太不寻常,他这样做的原因,不排除是黑客在利用漏洞的过程中发现痕迹擦不干净,有可能被查出来,所以马上对外公布,让广大黑客群体发起攻击,以便淹没自己最初的攻击,达到隐藏自己的效果。
据了解,XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。是一种针对使用XML交互的Web应用程序的攻击方法。
当XML允许引用外部实体时,黑客可以通过构造恶意XML实体文件,实现远程读取任意系统文件、远程执行系统命令等一系列危险操作,严重危害商家服务器的系统安全。
据奇速盾消息,截至昨晚微信官方尚未对SDK进行修复,但漏洞利用信息以及攻击方式已被公开,影响范围巨大(已经披露出的有陌陌、vivo确认存在该漏洞,不过据了解陌陌和 vivo 已经修复了相关的漏洞),建议用到微信支付JAVA SDK的企业立刻开展自查并关注微信官方安全通告。
据悉,该漏洞在推特上也有安全人员提出来了,认证为腾讯安全响应中心的人也在推特下面进行了回复,表示正在处理。
漏洞详情:
利用细节:
相关阅读链接:https://nosec.org/home/detail/1678.html
外文网站链接:http://seclists.org/fulldisclosure/2018/Jul/3
- - - - - - - - - -
来源丨支付学院(ipayhome)
支付之家网(WWW.ZFZJ.CN)
*文章为作者独立观点,不代表支付之家网立场*
閱讀更多 支付之家網 的文章
