随着科技越来越发达现在的人们已经慢慢的脱离的现金支付了,要嘛出门带卡,要嘛出门带手机现金支付已经渐渐的离开了市场而小编也是一样现在出门也已经几乎不带现金了只带一部手机。近日一位外国友人发现了微信支付的一个漏洞竟然可以免费购物,于是想要告知微信团队不过却无从下手只能在网上转告360工作人员,然后360工作人员转告微信团队让我们一起去看一下是怎么回事吧。
今日,据微信订阅号@FreeBuf报道,随着微信支付逐渐向海外市场普及,越来越多的外国友人及店铺开始使用微信支付。不过却发生了一件有趣的事情,国外一名白帽子发现了微信支付的漏洞,但却不知道如何联系微信安全的人员,竟然在Twitter上@360NetLab。在360安全人员转达漏洞之后,微信安全团队已经及时跟进处理这个问题。目测,下一波“微信致谢360”不远了……
根据白帽子给出的漏洞描述,使用微信支付时,商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。 一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),就可以通过发送伪造信息来欺骗商家购买任何东西而无需付费。