国产精品资源网在线观看,国产美女主播,国产精品1024,国产一级做a爱片久久毛片a,欧美大片在线,亚洲一区二区三区免费

7月1日，在老牌漏洞披露平臺Full Disclosure出現了一封寫給微信支付的公開信。發件人是Rose Jackcode，信的標題是《微信支付官方SDK的XXE安全漏洞（微信支付在商戶頁面遺留了一個后門）》。
 

 
發表在漏洞披露平臺Full Disclosure上的公開信
 
發件人Rose Jackcode在信中稱，他在微信支付官方SDK（軟件工具開發包）發現了一個安全漏洞，此漏洞可導致商家服務器被入侵，一旦攻擊者獲得商家的關鍵安全密鑰，就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。
 
在使用微信支付時，商家需要提供通知網址以接受異步支付結果。問題是微信在JAVA版本SDK中的實現存在一個XXE漏洞。攻擊者可以向通知URL構建惡意payload，根據需要竊取商家服務器的任何信息。換句話說，黑客利用微信支付的這個漏洞，能實現0元買買買的情況?！　榱俗尨蠹倚欧?，Rose Jackcode還貼出了兩張代碼截圖，展示出漏洞利用的過程，中招者是 Vivo和陌陌。
 

陌陌中招
 

vivo中招
 
那么他提到的XXE漏洞到底是什么呢？資料顯示，XXE漏洞即XML外部實體注入漏洞，它通常發生在應用程序解析XML輸入時，沒有禁止外部實體的加載，導致可加載惡意外部文件，造成文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起DOS攻擊等危害。簡單說就是使用XML后的引用不規范導致的問題。
 
值得注意的是，目前漏洞的詳細信息以及攻擊方式已被公開，安全人員建議使用 JAVA語言 SDK（軟件開發工具包）開發微信支付功能的商戶，快速檢查并修復。據白帽匯安全總監“BaCde”向雷鋒網透露，由于微信官方的SDK有問題，目前所有使用基于微信支付JAVA SDK開發的微信支付功能都可能受影響。
 
但是為什么Vivo和陌陌會受影響？一個是手機廠商，一個是社交軟件，似乎和微信支付沒有直接關聯。　　BaCde解釋，Vivo可能是因為其在線商城，比如黑客可以用微信支付不花一分錢來買走在線商城的東西。而對于陌陌中招，則有可能是因為它可以通過微信支付進行會員充值，也有漏洞可以利用。
 
針對此漏洞，微信支付方面未發布相關安全公告。騰訊方面在向媒體回應時表示，“微信支付技術安全團隊已第一時間關注及排查，并于今天中午對官方網站上該SDK漏洞進行更新，修復了已知的安全漏洞，并在此提醒商戶及時更新。請大家放心使用微信支付。”