康讯易媒-康讯科技

当前位置: 首页 > 科技 >

微信支付曝“0元购”漏洞

时间:2018-07-05 17:14来源:康讯易媒 作者:浅夏
近日,在国外某安全论坛上,有人公布了微信支付官方软件工具开发包(SDK)存在的一个严重漏洞,只要你掌握了这个漏洞,你就可以通过0元支付这种假付款的操作,骗过服务器,从而达到0元购买商品的目的。

   近日,在国外某安全论坛上,有人公布了微信支付官方软件工具开发包(SDK)存在的一个严重漏洞,只要你掌握了这个漏洞,你就可以通过0元支付这种假付款的操作,骗过服务器,从而达到0元购买商品的目的。

   此漏洞可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家,无需付费就能购买商品。黑客利用这个漏洞,还有倒卖用户信息的可能。

   这个消息一出,很多商家都惊恐了,要知道微信支付已经是占据了整个手机支付的百分之三十六的份额,如果用户与商家信息被曝露的话,那绝对又是一场灾难。

   据网络安全专家谢忱介绍,从当前被公开的漏洞信息来看,网络攻击者是利用了微信支付官方SDK(软件工具开发包)存在的漏洞,将自己伪装成微信支付平台,继而通过微信的漏洞伪造与商户的直接通信,在篡改微信支付的正常通信信息后达到偷梁换柱的目的。

        谢忱表示,正常的支付流程应该是由用户发起,经由微信支付平台到达商家,商家会有一个与微信支付平台确认支付结果的过程,而网络攻击者恰恰是利用了相关漏洞过了商户。谢忱认为,一些商家的安全防护水平较低,攻击者还可通过该漏洞获取商户的密钥等信息,再通过这个漏洞就可以实现将订单设置为0等操作,严重者还会导致该商户的消费者信息等数据内容泄漏。

        网络支付安全专家于迪则认为,接入微信支付的商户不必过度恐慌。于迪表示,该漏洞只存在于微信支付Java版本的SDK中,并且电商的安全防护及权限设置较高,完整攻击行为还存在较大的局限性。一般情况下,电商通常也会配备相应的对账平台,该系统也会有一定的防护作用。

   记者就有关问题函询了微信支付方面,其安全团队回函称:微信支付技术安全团队已第一时间关注及排查有关问题,并于当天中午对官方网站上的SDK漏洞进行了更新,修复了已知安全漏洞,同时微信支付团队提醒商户应及时更新相关安全补丁。

(责任编辑:小顾)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
栏目列表
推荐内容