微信支付SDK被曝重大漏洞,陌陌、vivo已被入侵!

国外安全社区Seclists.Org里一名白帽子披露了微信支付官方SDK存在严重的XXE漏洞,可导致商家服务器被入侵,并且黑客可避开真实支付通道,用虚假的支付通知来购买任意产品。另外,陌陌、vivo已经验证被该漏洞影响。

7月3日,国外安全社区Seclists.Org里一名白帽子披露了微信支付官方SDK存在严重的XXE漏洞,可导致商家服务器被入侵,并且黑客可避开真实支付通道,用虚假的支付通知来购买任意产品。另外,陌陌、vivo已经验证被该漏洞影响。

腾讯方面接受《中国经营报》记者采访时表示:“微信支付技术安全团队已第一时间关注及排查,并于今天中午对官方网站上该SDK漏洞进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。请大家放心使用微信支付。”

一位安全专家告诉记者,影响到支付的漏洞属于比较严重的漏洞,但微信官方反应很快,这种漏洞可以很快得到修复。受影响的可能是唯品会、vivo这种自建平台类商户,这类商户需要及时更新系统;而小的商户一般使用的是平台系统,平台修复升级后,商户不用操心;另外普通商户使用的是点对点扫码转账,也不用担心。“哪些商户需要升级,微信应该会通知到。”

原文发布于微信公众号 - BestSDK(bestsdk)

原文发表时间:2018-07-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Dawnzhang的开发者手册

https与http的区别?

11810
来自专栏Debian社区

这是一场战争 Debian技术委员会已经八去其三

围绕Debian选择初始化系统systemd所引发的争论让三名资深成员先后宣布从Debian技术委员会辞职。Russ Allbery和Colin Watson在...

12330
来自专栏FreeBuf

大多数路由器都存在固件缺陷使用户面临风险

如果你有一台无线路由器,那你就得小心了。因为这台路由器可能到处都是安全漏洞,而这些漏洞很可能会让你的一切陷入安全风险之中。

11130
来自专栏安恒信息

RAT远程访问木马主控端全网探测分析

RAT 简介 远程访问木马(RAT,remote access Trojan)是一种恶意程序,其中包括在目标计算机上用于管理控制的后门。通常攻击者会将远程访问...

56440
来自专栏FreeBuf

Github遭遇史上最大1.35 Tbps DDoS攻击

最大代码分发平台Github在周三遭受了一系列大规模分布式拒绝服务(DDoS)攻击。 在攻击的第一阶段,Github的网站遭受了惊人的每秒1.35太比特(Tbp...

36560
来自专栏魏艾斯博客www.vpsss.net

Bluehost 美国站和 Bluehost 中国站的关系

30040
来自专栏小文博客

vultr正确使用之挑选机房(你不知道的秘密)

88160
来自专栏区块链

网络安全:如何保护您的智能手机免受黑客攻击

白帽子部队 网络安全是21世纪人们无法忽视的问题。大多数人认为,黑客攻击的对象是政府,大公司,金融机构,知名人士。然而,我们每天都使用智能手机进行网上购物,转账...

423100
来自专栏域名资讯

海外高价收购2字母DO.com

海外一家互联网房地产公司收购极品两字母域名Do.com,目前收购价格暂不可知。

6500
来自专栏FreeBuf

大华科技11款摄像头产品被曝预留了后门,可远程获取管理员账户密码(厂商已更新补丁)

最近,中国浙江的一家安全摄像头/DVR制造商大华科技(Dahua Technology)针对旗下的不少产品推送了固件升级补丁。补丁据说是为了修复某些型号中的一个...

38870

扫码关注云+社区

领取腾讯云代金券