网上小额贷款公司-车贷房贷资讯门户「云贷网」
  • 提交贷款资讯
  • 主页 > 贷款资讯 > / 正文

    微信支付官方出现漏洞,无须付费可购买

    2019-02-26 07:42 贷款资讯

      微信支付官方出现漏洞,无须付费可购买

      名词解释:软件开发工具包(Software Development Kit,即SDK)一般是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件的开发工具的集合。

      微信支付官方出现漏洞,无须付费可购买

      近日有网友在国外安全社区公布了微信支付官方SDK存在的严重漏洞。

      此漏洞可侵入商家服务器,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。该网友还晒出了如何利用漏洞进行消费的截图,演示中使用的vivo和陌陌。利用这个漏洞,黑客可以购买商品,并有泄露用户信息的风险。目前,微信支付方面未发布相关安全公告。腾讯方面表示,微信支付技术安全团队已第一时间关注及排查,并于对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。

      那既然微信官方都没修复,陌陌和vo是怎么修复的?Bacde解释,陌陌和vⅳo本身有相应的安全能力,可以修改SDK的相应代码进行修复,自行解决。但如果是一些小的商户,就没有这个能力了。

      据悉,虽然目前该漏洞影响的是JAVA版本的SDK,但历史上已经出现过PHP版本的SDK存在同样的漏洞。据Bacde透露,这次的漏洞是XM外部实体注入漏洞,即当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

      对于攻击者来说,这么好的赚钱机会,闷声发大财就好了,为什么要选择公开攻击方式?创始人赵武推测,直接公开这种级别的大杀器确实太不寻常,他这样做的原因,不排除是黑客在利用漏洞的过程中发现痕迹擦不干净。

      有可能被查出来,所以马上对外公布,让广大黑客群体发起攻击,以便淹没自己最初的攻击,达到隐藏自己的效果。

      值得注意的是,虽然这篇在国外网站上的披露文章是英文的,但是其技术人员用了中文的标点符号,很有可能是国内的技术人员冒充外国人发的攻击详情。文章来源:博得一笑

      以上是“微信支付官方出现漏洞,无须付费可购买”的内容,更多资讯关注借点钱

    Tags: 微信支付 微信贷款条件

    搜索
    网站分类
    标签列表