微信支付SDK被曝漏洞 微信称已修复并提醒商户及时更新
微信支付SDK被曝漏洞 微信称已修复并提醒商户及时更新
来源：中国经营网
核心提示国外安全社区Seclists.Org里一名白帽子披露了微信支付官方SDK存在严重的XXE漏洞，可导致商家服务器被入侵，并且黑客可避开真实支付通道，用虚假的支付通知来购买任意产品。另外，陌陌、vivo已经验证被该漏洞影响。
　　7月3日，国外安全社区Seclists.Org里一名白帽子披露了微信支付官方SDK存在严重的XXE漏洞，可导致商家服务器被入侵，并且黑客可避开真实支付通道，用虚假的支付通知来购买任意产品。另外，陌陌、vivo已经验证被该漏洞影响。
　　腾讯方面接受《中国经营报》记者采访时表示：“微信支付技术安全团队已第一时间关注及排查，并于今天中午对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。请大家放心使用微信支付。”
　　一位安全专家告诉记者，影响到支付的漏洞属于比较严重的漏洞，但微信官方反应很快，这种漏洞可以很快得到修复。受影响的可能是唯品会、vivo这种自建平台类商户，这类商户需要及时更新系统；而小的商户一般使用的是平台系统，平台修复升级后，商户不用操心；另外普通商户使用的是点对点扫码转账，也不用担心。“哪些商户需要升级，微信应该会通知到。”
　　截至本报记者发稿，陌陌和vivo方面未回应本报记者的采访。
责任编辑：韩希宇
后参与评论
暂无相关推荐这个微信支付漏洞太吓人！直接扣款，全程不需要输入密码
用微信扫描二维码分享至好友和朋友圈
用微信扫描二维码分享至好友和朋友圈
　　　　今天我看到一条新闻，大致说的是宿迁的刘先生，他家8岁的孩子在玩他手机的时候，一不小打开微信钱包里的“公益”然后替他捐掉了17000元。　　“我这手机本身是绑定银行卡的，按理说应该有密码提示和验证码，转账时，应该会发一个验证码到我另外一个手机上面，结果验证码也没有发送，钱就莫名其妙地被捐了。”　　看到这条新闻之后，我也很困惑，因为用微信支付的时候，就算是几元钱也需要我们输入密码，但这次的支付行为却完没有输入密码这个过程，到底是怎么了？　　经过我的多次尝试，发现「捐款完全不需要支付密码」　　What？这到底是怎么一回事？　　　　大家尝试过后可以发现，随便点击腾讯公益里面的一个项目，然后点击「我要捐款」，随后并没有弹出支付密码的窗口，而是将页面跳转到了一个苹果手机自带浏览器上，浏览器打开的页面直接就提示支付成功，即不需要支付密码，也不需要任何手机验证码。　　这也太吓人了，如果小朋友随便用手机捐款的话，这还得了啊！！　　而且让我感到很惊讶的是，如果未成年不小心在游戏中大量花费，这还能通过法律途径追回来。但这次刘先生却讨不了这个钱。他后来问了下捐款方中国扶贫基金会。　　然后基金会表示正在对此事进行调查。“如果是发生系统发生故障，他们会退还这笔钱，但如果是孩子误捐的话，这笔钱将不会被退回。”　　　　这件事发生之后，在网友之间引起了巨大的争议，大家来看看。　　1、连儿童误捐都不肯吐出来，你还指望他们会真的愿意捐助有困难的人？未成年人，没有事行为能力，所以他的捐款行为是无效的，钱当然可以退回，这再次证明中国的慈善机构是个什么鬼?　　2、这应该是腾讯钱包的重大安全漏洞（微信QQ都是），很多手机的微信QQ钱包里面有大量的免密支付选项（无上限额度），大家一定要在钱包支付设置里手动勾选掉!　　3、吃进去了就不那么好吐了。公益性的东西在天朝总是觉得不太放心啊！　　4、刚才试了下腾讯公益并不是只有一个入口，腾讯公益的公众号也是入口，直接给转发到朋友圈也能形成入口，目前看来这个恶意陷阱除了解绑卡之外无解。　　5、我之前也相信，每年生日都买些关爱儿童捐款，给壹基金捐了不少，后面有次想给妹子面前装下逼，就给捐款时候让他们给我开个发票，结果就发现问题了，各种理由不开，后来就感觉有问题再也没捐过了。　　6、公益项目怎么搞的像诈骗！　　7、确实如此，刚刚用微信钱包进去试了一下，对方已经给你勾选了免密码支付，我去，差点就进坑了，腾讯吃相太难看。这么搞以后我都能把全公司的人的钱包全捐空！　　8、乱七八糟的这基金会那基金会红十字会，首先养肥的是一群官僚和工作人员。每一笔捐款，他们都要收取一定比例的管理费，剩下的钱他们去投资或者理财产生不菲收益继续大家分！最后每年象征性的搞几个所谓公益项目，就连公益项目也存在各种腐败！
特别声明：本文为网易自媒体平台“网易号”作者上传并发布，仅代表该作者观点。网易仅提供信息发布平台。
阅读下一篇
网易通行证/邮箱用户可以直接登录：微信支付漏洞是什么回事？
<p class="detail" data-data='听朋友说最近微信支付出了一个漏洞，只要掌握了这个漏洞不花钱就可以通过微信支付购买任何商品了，不知道是不是真的？希望各位老师介绍一下微信支付漏洞的具体情况，谢谢。'>听朋友说最近微信支付出了一个漏洞，只要掌握了这个漏洞不花钱就可以通过微信支付购买任何商品了，不知道是不是真的？希望各位老师介绍一下微信支付漏洞的具
按时间排序
白帽汇安全研究院关注到国外安全社区公布微信支付官方SDK存在严重漏洞，可导致商家服务器被入侵（绕过支付的效果）。目前，漏洞详细信息以及攻击方式已被公开，影响范围巨大（已有陌陌、vivo确认存在该漏洞），建议用到JAVA SDK的商户快速检查并修复。目前，确认该漏洞（XXE漏洞）影响JAVA版本的SDK，历史上曾经也出现过PHP版本SDK存在同样的漏洞。什么是XML外部实体注入(XML External Entity，简称XXE)？当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。漏洞影响此次漏洞可使攻击者向通知URL 构建恶意有效payload，以便根据需要窃取商家服务器的任何信息。一旦攻击者获得商家的关键安全密钥（md5-key和merchant-Id等），他甚至可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。目前微信官方尚未对SDK进行修复。现已有momo、vivo已经验证被该漏洞影响。微信支付被广泛应用于各种支付场景。目前，该白帽子在没有通知厂商的情况就对外公布，至此，官方还没有发布相关补丁。提醒广大厂商检查自己的系统，及时进行修复，防止带来损失。
随便，都是漏洞也没有关系，反正微信里面从来没有超过50块钱
从目前能看到的资料来分析，影响的是商户端系统，商户端系统应该禁用XXE，没禁用的话就是存在漏洞了。
微信支付Java SDK的高危XXE漏洞，可导致商家服务器被入侵，甚至可能被黑客利用，避开真实支付通道，利用伪造的支付成功数据来购买任意商品，而且攻击方式已经大规模传播。目前已经确认vivo、陌陌可以被成功利用该漏洞，但已经紧急修复。利用这个漏洞，可以在微信支付交易过程，使用通知URL回传信息构造恶意数据，读取商家服务器信息，一旦攻击者获得商家的关键安全密钥md5-key，就可以通过发送伪造的信息来欺骗商家而无需付费购买任意商品。
XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时，没有禁止外部实体的加载。是一种针对使用XML交互的Web应用程序的攻击方法。受影响版本：JAVA SDK，WxPayAPI_JAVA_v3微信在JAVA版本的SDK中提供callback回调功能，用来帮助商家接收异步付款结果，该接口接受XML格式的数据，攻击者可以构造恶意的回调数据（XML格式）来窃取商家服务器上的任何信息。一旦攻击者获得了关键支付的安全密钥（md5-key和商家信息，将可以直接实现0元支付购买任何商品）。当XML允许引用外部实体时，黑客可以通过构造恶意XML实体文件，实现远程读取任意系统文件、远程执行系统命令等一系列危险操作，严重危害商家服务器的系统安全。目前，微信官方尚未对SDK进行修复，但漏洞利用信息以及攻击方式已被公开，影响范围巨大（已经披露出的有陌陌、vivo确认存在该漏洞），建议用到微信支付JAVA SDK的企业立刻开展自查并关注微信官方安全通告。
此漏洞可导致商家服务器被入侵，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。在使用微信支付时，商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload，根据需要窃取商家服务器的任何信息。换句话说，黑客利用微信支付的这个漏洞，能实现0元买买买的情况。这并不是说说而已，这位网友还直接甩出了两张图，展示出漏洞利用的过程，中招者是vivo和陌陌。对此，微信支付方面未发布相关安全公告。腾讯方面在向媒体回应时表示，“微信支付技术安全团队已第一时间关注及排查，并于今天中午对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。请大家放心使用微信支付。”值得注意的是，目前漏洞的详细信息以及攻击方式已被公开，安全人员建议使用JAVA语言SDK（软件开发工具包）开发微信支付功能的商户，快速检查并修复。（此处解释一下，微信官方发布了自己的微信支付开发包，许多开发人员选择使用官方最新版本，一般来讲，SDK是按照编程语言区分，如果网站使用的是同一种语言，那么其开发使用的也就是对应种语言。但也有特殊情况，就是不使用官方的开发包，而使用开源的或自行开发的，这样相对较少。）
昨日，有用户在国外安全社区公布了微信支付官方SDK(软件工具开发包)存在的严重漏洞，此漏洞可导致商家服务器被入侵，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。该用户还晒出了如何利用漏洞进行买买买的截图，利用这个漏洞，黑客不仅可以 0 元购买，还有倒卖用户信息的可能。对此，微信支付方面未发布相关安全公告。腾讯方面在向媒体回应时表示，“微信支付技术安全团队已第一时间关注及排查，并于中午对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。请大家放心使用微信支付。”
7月3日，据白帽汇安全研究院的消息，有网友在国外的安全社区公布了微信支付官方SDK（软件工具开发包）存在的严重漏洞，此漏洞可导致商家服务器被入侵，一旦攻击者获得商家的关键安全密钥（md5-key和merchant-Id等），他就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。
感谢您为社区的和谐贡献力量请选择举报类型
经过核实后将会做出处理感谢您为社区和谐做出贡献
点击可定位违规字符位置
确定要取消此次报名，退出该活动？
请输入私信内容：微信支付被曝漏洞，赶紧看看怎么回事！微信支付被曝漏洞，赶紧看看怎么回事！黑色技术畅想百家号最近微信支付在网上被曝光了一些漏洞，被人直接买买买不用花钱，很多小伙伴对这个事情不是很清楚，大家都在问这个这个是怎么回事？有什么影响？小编就为大家详细的介绍下这个事情！7 月 3 日，国外安全社区 Seclists.Org 一名白帽子披露了微信支付官方 SDK 存在严重的 XXE 漏洞。该漏洞可导致商家服务器被入侵，黑客可避开真实支付通道，用虚假的支付通知来购买任意产品。陌陌、vivo 已经验证被该漏洞影响。(此漏洞可导致商家服务器被入侵，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。)腾讯对媒体表示，微信支付技术安全团队已第一时间关注及排查 XXE 漏洞，并于 7 月 3 日中午对官方网站上的 SDK 漏洞进行更新，修复了已知的安全漏洞。并在此提醒商户及时更新。请大家放心使用微信支付。消息来源：新浪科技本文由百家号作者上传并发布，百家号仅提供信息发布平台。文章仅代表作者个人观点，不代表百度立场。未经作者许可，不得转载。黑色技术畅想百家号最近更新：简介:你带着文化旅游的趣闻！作者最新文章相关文章(window.slotbydup=window.slotbydup || []).push({
id: '4016714',
container: s,
size: '800,80',
display: 'inlay-fix'
虽然移动支付给大家的生活带来了很大的便利，但这其中也存在着不小的安全隐患。 7 月 3 日，国外安全社区一名白帽子披露了微信支付官方SDK存在严重漏洞，该漏洞可致商家服务器被入侵，黑客可避开真实支付通道，实现 0 元购买任何产品。目前中招的有陌陌和vivo。
来源：站长之家
虽然移动支付给大家的生活带来了很大的便利，但这其中也存在着不小的安全隐患。 7 月 3 日，国外安全社区一名白帽子披露了微信支付官方SDK存在严重漏洞，该漏洞可致商家服务器被入侵，黑客可避开真实支付通道，实现 0 元购买任何产品。目前中招的有陌陌和vivo。
对此，腾讯官方回应称&微信支付技术安全团队已第一时间关注及排查，并于 3 日中午对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。请大家放心使用微信支付。&
好在这次官方反应迅速，没有造成太大影响。商户们也应随时关注，及时更新。
以下是陌陌、vivo微信支付漏洞利用过程：
▲陌陌的微信支付漏洞利用过程
▲vivo的微信支付漏洞利用过程
关注中国IDC圈官方微信：idc-quan 我们将定期推送IDC产业最新资讯
货币政策边际放松，央行年内第二次定向降准，7月初开始实施，流动性边际改善，市场对于信用风险的担忧将会边际削弱，对股权质押担忧也有望降低。A股整体估值处在历史低位，
如今，数据中心是计算领域最大的参与者，为了能够跟上互联网经济指数增长，人们有必要了解未来的数据中心会是什么样子。多年来，人们一直认为大量的服务器将被安置在类似科
“5年前，人们还在讨论中卫是否适合建设云计算基地，而5年后的今天，曾经是戈壁荒漠的中卫工业园区，已建成了世界瞩目的云计算基地。”中国宽带资本基金董事长田溯宁在主题
据网络安全专家谢忱介绍，从当前被公开的漏洞信息来看，网络攻击者是利用了微信支付官方SDK(软件工具开发包)存在的漏洞，将自己伪装成“微信支付平台”，继而通过微信的漏
大半年过去了，高通的服务器之路却非常坎坷，几乎没有什么客户采纳其方案，QDT总裁Anand Chandrasekher在今年5月份离职，此后部门精简，裁员达280人。现在，QDT的技术副总
热门会议：
我们的服务：