2018-2024年智能網絡攝像機市場發展前景分析及供需格局研究預測報告
隨著智能網絡攝像機行業競爭的不斷加劇,大型企業間并購整合與資本運作日趨頻繁,國內外優秀的智能網絡攝像機企業愈來愈重視對行業市場的分析研究,特別是對當前市場環境和客戶需求趨勢變化的深...
老牌漏洞披露平臺Full Disclosure出現了一封寫給微信支付的公開信。
7月1日,在老牌漏洞披露平臺Full Disclosure出現了一封寫給微信支付的公開信。發件人是Rose Jackcode,信的標題是《微信支付官方SDK的XXE安全漏洞(微信支付在商戶頁面遺留了一個后門)》。
發表在漏洞披露平臺Full Disclosure上的公開信
發件人Rose Jackcode在信中稱,他在微信支付官方SDK(軟件工具開發包)發現了一個安全漏洞,此漏洞可導致商家服務器被入侵,一旦攻擊者獲得商家的關鍵安全密鑰,就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。
在使用微信支付時,商家需要提供通知網址以接受異步支付結果。問題是微信在JAVA版本SDK中的實現存在一個XXE漏洞。攻擊者可以向通知URL構建惡意payload,根據需要竊取商家服務器的任何信息。換句話說,黑客利用微信支付的這個漏洞,能實現0元買買買的情況。
為了讓大家信服,Rose Jackcode還貼出了兩張代碼截圖,展示出漏洞利用的過程,中招者是 Vivo和陌陌。
那么他提到的XXE漏洞到底是什么呢?
資料顯示,XXE漏洞即XML外部實體注入漏洞,它通常發生在應用程序解析XML輸入時,沒有禁止外部實體的加載,導致可加載惡意外部文件,造成文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起DOS攻擊等危害。簡單說就是使用XML后的引用不規范導致的問題。
值得注意的是,目前漏洞的詳細信息以及攻擊方式已被公開,安全人員建議使用 JAVA語言 SDK(軟件開發工具包)開發微信支付功能的商戶,快速檢查并修復。據白帽匯安全總監“BaCde”向雷鋒網透露,由于微信官方的SDK有問題,目前所有使用基于微信支付JAVA SDK開發的微信支付功能都可能受影響。
但是為什么Vivo和陌陌會受影響?
一個是手機廠商,一個是社交軟件,似乎和微信支付沒有直接關聯。
BaCde解釋,Vivo可能是因為其在線商城,比如黑客可以用微信支付不花一分錢來買走在線商城的東西。而對于陌陌中招,則有可能是因為它可以通過微信支付進行會員充值,也有漏洞可以利用。
雖然這篇在國外網站上的披露文章是英文的,但是其技術人員用了中文的標點符號,很有可能是國內的技術人員冒充外國人發的攻擊詳情。
針對此漏洞,微信支付方面未發布相關安全公告。騰訊方面在向媒體回應時表示,“微信支付技術安全團隊已第一時間關注及排查,并于今天中午對官方網站上該SDK漏洞進行更新,修復了已知的安全漏洞,并在此提醒商戶及時更新。請大家放心使用微信支付。”
細分市場研究 可行性研究 商業計劃書 專項市場調研 兼并重組研究 IPO上市咨詢 產業園區規劃 十三五規劃
中研網 發現資訊的價值
研究院 掌握產業最新情報 中研網是中國領先的綜合經濟門戶,聚焦產業、科技、創新等研究領域,致力于為中高端人士提供最具權威性的產業資訊。每天對全球產業經濟新聞進行及時追蹤報道,并對熱點行業專題探討及深入評析。以獨到的專業視角,全力打造中國權威的經濟研究、決策支持平臺!
廣告、內容合作請點這里尋求合作
兩面針牙膏是柳州兩面針股份有限公司出品的主導產品,為中國名牌產品。兩面針牙膏采用兩面針等多種中草藥活性成分、和...
據彭博社援引沙特新聞社(SPA)稱,沙特內閣確認,準備好在必要時動用石油閑置產能,與其他產油國一道應對未來可能出S...
盼望著,2018百度AI開發者大會終于要來到了。百度年度AI開發者盛會將于7月4日在北京召開,會上百度將展示一年來創新成...
7月4日消息,據路透社報道,當地時間周二,美國數字加密貨幣安全公司CipherTrace發布的報告顯示,今年上半年,價值7.6...
汽車什么時候加油最好?很多人不知道。汽車作為日常交通工具,走進千家萬戶,很多司機經過幾個月的培訓就上路了,對于...
北京時間7月8日凌晨2:00,俄羅斯和克羅地亞將在索契菲什特體育場展開晉級4強之戰。下面來看看俄羅斯vs克羅地亞比分預v...
深圳安全生產新規7月1日施行 將對企業產生怎樣的影響? 
