捷克論壇 JKF

搜尋
devant
侯爵 | 2018-7-6 14:34:39

shutterstock_438697657.jpg
有白帽駭客在國外資安論壇 Full Disclosure 公布他所找到的微信支付 SDK 漏洞,稱該漏洞可以入侵商家的伺服器,一旦攻擊者獲得了安全密鑰,就可以發送偽造過的訊息欺騙商家,達成免付費購買物品的目的。


該網友把過程跟做法貼在網路上,表示在使用微信支付時,商家的伺服器會提供一組通知網址以接收異步付款的結果,但是 Java 版本的 SDK 存在一個 XXE 漏洞(註),有心者可以對那個通知網址進行攻擊,然後竊取商家伺服器的必要訊息,並偽造訊息欺騙商家,藉此達成零付費購買物品的目的。
而除了披露相關的漏洞與攻擊模式以外,該白帽駭客還實際操作了攻擊方式,而對象就是 Vivo 跟陌陌,Vivo 的線上商城支援微信支付,而陌陌本身是社交軟體,但該軟體也可以透過微信支付儲值,白帽駭客挑選這兩個程式,就代表線上商城購買實體或者是軟體充值都有可能受到這個漏洞的影響。
有趣的是,雷鋒網發現該駭客在使用標點符號的時候,不小心遺留了一個全型的標點符號,因此雷鋒網認為這個駭客本身應該是中國國內的技術人員偽裝外國技術人員發表。目前微信表示該漏洞已經緊急修復完畢,不過這也曝光了在行動支付時代中,這樣的問題也會層出不窮。
▲ (Source:雷鋒網
2018 年過年期間支付寶也出現過漏洞,在過年支付寶紅包發放的時候,有兩個年輕人卻找到方法領了多次紅包,獲利達 90 萬人民幣。
註:XXE 漏洞為應用程式解析 XML 的訊息輸入時,沒有禁止外部的加載,導致攻擊者可以輕易在這裡面加載外部的惡意的外部程式或檔案資料,藉以達成攻擊者的目的。
(首圖來源:shutterstock)

評分

已有 2 人評分名聲 J幣 收起 理由
santy013 + 12 + 12 感謝大大分享
8426111 + 24 + 30 感謝大大分享

總評分: 名聲 + 36  J幣 + 42   查看全部評分

回覆 使用道具
showchwansasaya
侯爵 | 2018-7-6 16:28:32

免錢買東西, 怎麼是惡夢?!
回覆 使用道具
曾正忠
侯爵 | 2018-7-6 22:28:50

商家賣東西收不到錢 應該會跳腳
回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表