文章首发于支付之家网

网址丨WWW.ZFZJ.CN

公众号丨ipayhome

支付之家网（WWW.ZFZJ.CN） 据雷锋网报道，7月3日白帽汇安全研究院称，有网友在国外的安全社区公布了微信支付官方SDK（软件工具开发包）存在的严重漏洞。

此漏洞可导致商家服务器被入侵，一旦攻击者获得商家的关键安全密钥（md5-key和merchant-Id等），他就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。

在使用微信支付时，商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload，根据需要窃取商家服务器的任何信息。换句话说，黑客利用微信支付的这个漏洞，能实现0元买买买的情况。

援引雷锋网问题：对于攻击者来说，这么好的赚钱机会，闷声发大财就好了，为什么要选择公开攻击方式？

据白帽汇创始人赵武推测，直接公开这种级别的大杀器确实太不寻常，他这样做的原因，不排除是黑客在利用漏洞的过程中发现痕迹擦不干净，有可能被查出来，所以马上对外公布，让广大黑客群体发起攻击，以便淹没自己最初的攻击，达到隐藏自己的效果。

据了解，XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时，没有禁止外部实体的加载。是一种针对使用XML交互的Web应用程序的攻击方法。

当XML允许引用外部实体时，黑客可以通过构造恶意XML实体文件，实现远程读取任意系统文件、远程执行系统命令等一系列危险操作，严重危害商家服务器的系统安全。

据奇速盾消息，截至昨晚微信官方尚未对SDK进行修复，但漏洞利用信息以及攻击方式已被公开，影响范围巨大（已经披露出的有陌陌、vivo确认存在该漏洞，不过据了解陌陌和 vivo 已经修复了相关的漏洞），建议用到微信支付JAVA SDK的企业立刻开展自查并关注微信官方安全通告。

据悉，该漏洞在推特上也有安全人员提出来了，认证为腾讯安全响应中心的人也在推特下面进行了回复，表示正在处理。

漏洞详情：

利用细节：

相关阅读链接：

https://nosec.org/home/detail/1678.html

外文网站链接：

http://seclists.org/fulldisclosure/2018/Jul/3

- - - - - - - - - -

来源丨支付学院（微信：ipayhome）

责编丨包包大人（微信zfzjsz）

支付之家网（WWW.ZFZJ.CN）

添加微信/QQ号: 80027302，加入支付之家系列社群

*文章为作者独立观点，不代表支付之家网立场*