原標(biāo)題：0元就能買(mǎi)買(mǎi)買(mǎi) 微信支付官方SDK被曝嚴(yán)重漏洞 Vivo陌陌中招

7月1日，在老牌漏洞披露平臺(tái)Full Disclosure出現(xiàn)了一封寫(xiě)給微信支付的公開(kāi)信。發(fā)件人是Rose Jackcode，信的標(biāo)題是《微信支付官方SDK的XXE安全漏洞(微信支付在商戶頁(yè)面遺留了一個(gè)后門(mén))》。

微信支付被曝漏洞 0元就能買(mǎi)買(mǎi)買(mǎi) Vivo陌陌中招" src="https://img2.utuku.china.com/650x0/news/20180704/054548c9-648f-46d1-8605-25f353f65abf.png" width="530" height="423"/>

發(fā)表在漏洞披露平臺(tái)Full Disclosure上的公開(kāi)信

發(fā)件人Rose Jackcode在信中稱(chēng)，他在微信支付官方SDK(軟件工具開(kāi)發(fā)包)發(fā)現(xiàn)了一個(gè)安全漏洞，此漏洞可導(dǎo)致商家服務(wù)器被入侵，一旦攻擊者獲得商家的關(guān)鍵安全密鑰，就可以通過(guò)發(fā)送偽造信息來(lái)欺騙商家而無(wú)需付費(fèi)購(gòu)買(mǎi)任何東西。

在使用微信支付時(shí)，商家需要提供通知網(wǎng)址以接受異步支付結(jié)果。問(wèn)題是微信在JAVA版本SDK中的實(shí)現(xiàn)存在一個(gè)XXE漏洞。攻擊者可以向通知URL構(gòu)建惡意payload，根據(jù)需要竊取商家服務(wù)器的任何信息。換句話說(shuō)，黑客利用微信支付的這個(gè)漏洞，能實(shí)現(xiàn)0元買(mǎi)買(mǎi)買(mǎi)的情況。

為了讓大家信服，Rose Jackcode還貼出了兩張代碼截圖，展示出漏洞利用的過(guò)程，中招者是 Vivo和陌陌。

陌陌中招

vivo中招

那么他提到的XXE漏洞到底是什么呢?資料顯示，XXE漏洞即XML外部實(shí)體注入漏洞，它通常發(fā)生在應(yīng)用程序解析XML輸入時(shí)，沒(méi)有禁止外部實(shí)體的加載，導(dǎo)致可加載惡意外部文件，造成文件讀取、命令執(zhí)行、內(nèi)網(wǎng)端口掃描、攻擊內(nèi)網(wǎng)網(wǎng)站、發(fā)起DOS攻擊等危害。簡(jiǎn)單說(shuō)就是使用XML后的引用不規(guī)范導(dǎo)致的問(wèn)題。

值得注意的是，目前漏洞的詳細(xì)信息以及攻擊方式已被公開(kāi)，安全人員建議使用 JAVA語(yǔ)言 SDK(軟件開(kāi)發(fā)工具包)開(kāi)發(fā)微信支付功能的商戶，快速檢查并修復(fù)。據(jù)白帽匯安全總監(jiān)“BaCde”向雷鋒網(wǎng)透露，由于微信官方的SDK有問(wèn)題，目前所有使用基于微信支付JAVA SDK開(kāi)發(fā)的微信支付功能都可能受影響。

但是為什么Vivo和陌陌會(huì)受影響?一個(gè)是手機(jī)廠商，一個(gè)是社交軟件，似乎和微信支付沒(méi)有直接關(guān)聯(lián)。

BaCde解釋?zhuān)琕ivo可能是因?yàn)槠湓诰€商城，比如黑客可以用微信支付不花一分錢(qián)來(lái)買(mǎi)走在線商城的東西。而對(duì)于陌陌中招，則有可能是因?yàn)樗梢酝ㄟ^(guò)微信支付進(jìn)行會(huì)員充值，也有漏洞可以利用。

雷鋒網(wǎng)稱(chēng)，雖然這篇在國(guó)外網(wǎng)站上的披露文章是英文的，但是其技術(shù)人員用了中文的標(biāo)點(diǎn)符號(hào)，很有可能是國(guó)內(nèi)的技術(shù)人員冒充外國(guó)人發(fā)的攻擊詳情。

針對(duì)此漏洞，微信支付方面未發(fā)布相關(guān)安全公告。騰訊方面在向媒體回應(yīng)時(shí)表示，“微信支付技術(shù)安全團(tuán)隊(duì)已第一時(shí)間關(guān)注及排查，并于今天中午對(duì)官方網(wǎng)站上該SDK漏洞進(jìn)行更新，修復(fù)了已知的安全漏洞，并在此提醒商戶及時(shí)更新。請(qǐng)大家放心使用微信支付?！?/p>