微信支付被曝漏洞 這么操作陌陌vivo等商家可0元隨便買買買！（2）

商戶、用戶和黑客

如果你是一名商戶，會有哪些影響？

以在線商城的商戶為例，如果你所應用的語言是JAVA（目前漏洞針對的是JAVA），接入微信支付功能的第一步，首先要在微信的官方網站找到JAVA語言的SDK開發包，當開發人員編寫不規范而開發出有漏洞的微信支付功能，黑客發現后，就可通過竊取商戶信息，進而偽造網絡請求進行0元購買商品的操作，以及獲取數據信息。

這里要強調一下，雖然這里的開發人員是商戶的開發人員，但其根本原因還是由于微信支付的SDK在某處存在安全問題，所以要解決漏洞，還得從官方的SDK來解決。

如果我是普通的用戶呢？

最直接的影響就是，你在商家后臺的用戶信息已經被暴露了，而黑客拿到這些信息可以去暗網上兜售。緊接著，你成為了垃圾信息的受害者。

而對于黑客來說，通過這個漏洞，不僅可以0元買買買，還可以通過倒賣用戶信息小賺一筆。

漏洞影響

雷鋒網發現，目前，陌陌和vivo已經修復了相關的漏洞，但針對此漏洞，微信官方并未發布相關安全公告，也沒有更新微信支付的SDK版本。

也就是說，所有使用微信支付官方SDK的商戶，并且語言是JAVA的，都還處于被攻擊的危險之中。

那既然微信官方都沒修復，陌陌和vivo是怎么修復的？

BaCde解釋，陌陌和vivo本身有相應的安全能力，可以修改SDK的相應代碼進行修復，自行解決。但如果是一些小的商戶，就沒有這個能力了。

據悉，雖然目前該漏洞影響的是JAVA版本的SDK，但歷史上已經出現過PHP版本的SDK存在同樣的漏洞。據BaCde透露，這次的漏洞是XML外部實體注入漏洞，即當允許引用外部實體時，通過構造惡意內容，可導致讀取任意文件、執行系統命令、探測內網端口、攻擊內網網站等危害。

對于攻擊者來說，這么好的賺錢機會，悶聲發大財就好了，為什么要選擇公開攻擊方式？

據白帽匯創始人趙武推測，直接公開這種級別的大殺器確實太不尋常，他這樣做的原因，不排除是黑客在利用漏洞的過程中發現痕跡擦不干凈，有可能被查出來，所以馬上對外公布，讓廣大黑客群體發起攻擊，以便淹沒自己最初的攻擊，達到隱藏自己的效果。

值得注意的是，雖然這篇在國外網站上的披露文章是英文的，但是其技術人員用了中文的標點符號，很有可能是國內的技術人員冒充外國人發的攻擊詳情。

微信支付被曝漏洞

騰訊已經知曉漏洞

目前，雷鋒網發現，該漏洞在推特上也有安全人員提出來了，這位仁兄可能不太認識騰訊的安全小哥，直接@360來尋人，然后360把漏洞的鏈接發給了騰訊的人，認證為騰訊安全響應中心的人也在推特下面進行了回復，表示正在處理。

微信支付被曝漏洞