微信支付曝“ 0 元购”漏洞,安全团队称已修复

手机
2018
07/05
09:17
新浪科技
分享
评论

有网络安全机构曝光了一组微信支付的技术漏洞,据称攻击者可利用该漏洞将自己伪装成微信支付平台,通过篡改数据的方式获得 "0 元购 " 特权。从微信支付官方渠道获悉,该漏洞已修复,商家不必过度恐慌。

据网络安全专家谢忱介绍,从当前被公开的漏洞信息来看,网络攻击者是利用了微信支付官方 SDK(软件工具开发包)存在的漏洞,将自己伪装成 " 微信支付平台 ",继而通过微信的漏洞伪造与商户的直接通信,在篡改微信支付的正常通信信息后达到 " 偷梁换柱 " 的目的。

谢忱表示,正常的支付流程应该是由用户发起,经由微信支付平台到达商家,商家会有一个与微信支付平台确认支付结果的过程,而网络攻击者恰恰是利用了相关漏洞 " 骗 " 过了商户。谢忱认为,一些商家的安全防护水平较低,攻击者还可通过该漏洞获取商户的密钥等信息,再通过这个漏洞就可以实现 " 将订单设置为 0 元 " 等操作,严重者还会导致该商户的消费者信息等数据内容泄漏。

网络支付安全专家于迪则认为,接入微信支付的商户不必过度恐慌。于迪表示,该漏洞只存在于微信支付 Java 版本的 SDK 中,并且电商的安全防护及权限设置较高,完整攻击行为还存在较大的局限性。一般情况下,电商通常也会配备相应的对账平台,该系统也会有一定的防护作用。

记者就有关问题函询了微信支付方面,其安全团队回函称:微信支付技术安全团队已第一时间关注及排查有关问题,并于当天中午对官方网站上的 SDK 漏洞进行了更新,修复了已知安全漏洞,同时微信支付团队提醒商户应及时更新相关安全补丁。

【来源:新浪科技

THE END
广告、内容合作请点击这里 寻求合作
微信
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表砍柴网的观点和立场。

相关热点

我认为,微信更像是一款工具类软件,一个人们整合了社交、支付、信息来源的生活入口。所以在讨论为什么美国没有微信的时候,对标的并不应该是社交类应用,而应该是类似的“生活入口”。
态度
微信医保支付的发展脚步不断加快,目前,微信医保支付已覆盖深圳、广州、成都等全国55个城市,其中广西、甘肃已实现全省覆盖,为广大居民提供微信智慧医疗带来的便捷就医体验。
业界
6月21日,近日有媒体报道多个拼房小程序低调上线,但很多拼房对象只限定女性,甚至暗示女性可以不用付费。
业界
众所周知,6月18日是京东618大促,赶在这个时间点上线,无论对京东还是搜一搜功能的推广,都是互惠互利的好时机。也牵动了众多媒体和业内人士的神经。普遍认为这是微信在电商上的重要战略布局,甚至认为“...
态度
微信不是百度,用户在微信内搜一搜的目的是为了获取信息,包括公众号文章、公众号、朋友圈好友评论等内容。他们的目的从来都不是电商,搜一搜直达电商模式是一个尴尬的存在。
态度
最新文章

相关推荐

1
3