有白帽骇客在国外资安论坛 Full Disclosure 公布他所找到的微信支付 SDK 漏洞,称该漏洞可以入侵商家的服务器,一旦攻击者获得了安全密钥,就可以发送伪造过的讯息欺骗商家,达成免付费购买物品的目的。
该网友把过程跟做法贴在网络上,表示在使用微信支付时,商家的服务器会提供一组通知网址以接收异步付款的结果,但是 Java 版本的 SDK 存在一个 XXE 漏洞(注),有心者可以对那个通知网址进行攻击,然后窃取商家服务器的必要讯息,并伪造讯息欺骗商家,借此达成零付费购买物品的目的。
而除了披露相关的漏洞与攻击模式以外,该白帽骇客还实际操作了攻击方式,而对象就是 Vivo 跟陌陌,Vivo 的线上商城支援微信支付,而陌陌本身是社交软件,但该软件也可以透过微信支付储值,白帽骇客挑选这两个程式,就代表线上商城购买实体或者是软件充值都有可能受到这个漏洞的影响。
有趣的是,雷锋网发现该骇客在使用标点符号的时候,不小心遗留了一个全型的标点符号,因此雷锋网认为这个骇客本身应该是中国国内的技术人员伪装外国技术人员发表。目前微信表示该漏洞已经紧急修复完毕,不过这也曝光了在行动支付时代中,这样的问题也会层出不穷。
▲ (Source:雷锋网)
2018 年过年期间支付宝也出现过漏洞,在过年支付宝红包发放的时候,有两个年轻人却找到方法领了多次红包,获利达 90 万人民币。
注:XXE 漏洞为应用程序解析 XML 的讯息输入时,没有禁止外部的加载,导致攻击者可以轻易在这里面加载外部的恶意的外部程式或档案资料,藉以达成攻击者的目的。
- XXE in WeChat Pay Sdk ( WeChat leave a backdoor on merchant websites)
- 0元就能买买买,微信支付官方SDK被曝严重漏洞
(首图来源:shutterstock)
