Loading
0

微信支付SDK现严重漏洞,攻击者可0元购买任意商品

据悉,此漏洞是由国外知名安全社区Seclists.Org中一位白帽子对外宣出的,WX支付官方SDK存在严重的XXE漏洞,这可导致商家服务器被入侵,且黑客可避开真实支付通道,伪造一个支付通知来购买任意商品。

有趣的是,这名白帽并不知道如何联系微信安全团队人员,所以在推特上艾特的360,于是360代为转达了该漏洞,这就造成了在没有提前通知厂商的情况下公布了漏洞

随后腾讯像360致谢,再回想当年3Q大战,这真的是有点让人好笑。

笔者在尝试复现漏洞的时候失败了,后来听朋友说已经修复了,真是有点遗憾!

本文由A1d4m's blog(www.ychack.com)提供,文章原创版权所有,转载请注明!