白帽汇安全研究院关注到国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵(绕过支付的效果)。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已有陌陌、vivo确认存在该漏洞),建议用到JAVA SDK的商户快速检查并修复。

目前,确认该漏洞(XXE漏洞)影响JAVA版本的SDK,历史上曾经也出现过PHP版本SDK存在同样的漏洞。

什么是XML外部实体注入(XML External Entity,简称XXE)?

当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

漏洞影响

此次漏洞可使攻击者向通知URL 构建恶意有效payload,以便根据需要窃取商家服务器的任何信息。一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),他甚至可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。目前微信官方尚未对SDK进行修复。现已有momo、vivo已经验证被该漏洞影响。微信支付被广泛应用于各种支付场景。目前,该白帽子在没有通知厂商的情况就对外公布,至此,官方还没有发布相关补丁。提醒广大厂商检查自己的系统,及时进行修复,防止带来损失。

php微信支付漏洞,微信支付漏洞是什么回事?相关推荐

  1. 【漏洞学习——支付漏洞】酷我音乐会员0.01元购买成功存在支付逻辑漏洞

    漏洞细节 1.找到酷我会员购买界面,使用微信支付方式 2.正常情况下需要通过扫描微信的支付验证码,支付10元购买一个月会员 3.0元购买时通过修改数据包的付费金额为0.01元,然后扫描微信支付成功后就 ...

  2. 小白也能看懂的教程:微信小程序在线支付功能开通详细流程(图文介绍)

    微信小程序不仅是一个展示平台,更多会用到小程序的电商功能,当然了,支付目前而言需要接入微信支付,那么具体而言,微信小程序要怎么开通支付功能呢?最近需要在微信小程序中用到在线支付功能,于是看了一下官方的 ...

  3. php微信支付参数动态配置,支付,微信开发_微信支付动态如何获取$jsApiParameters参数,支付,微信开发 - phpStudy...

    微信支付动态如何获取$jsApiParameters参数 现在我们在做一个需要动态变换价格的微信支付页面,就是用户购买商品后,跳转到支付页面,但是可以选择几个不同的价格当中一个进行支付. 当跳到这个页 ...

  4. 微信小程序 统一支付 php,微信/微信小程序统一下单(PHP版)

    事先准备工作 1.开通公众号/小程序支付 2.商户号后台设置支付目录.回调目录.白名单等设置. 3.记录商户号ID(mchid)和生成支付key 需要准备辅助函数 //---------------- ...

  5. 【微信支付】微信端的手机网页支付 开发流程

    -----------------------------------------------------------------------------------------------1.微信 ...

  6. 企业号微信支付 公众号支付 H5调起支付API示例代码 JSSDK C# .NET

    企业号微信支付 公众号支付 H5调起支付API示例代码 JSSDK C# .NET 原文:企业号微信支付 公众号支付 H5调起支付API示例代码 JSSDK C# .NET 先看效果 1.本文演示的是 ...

  7. java 银联支付反馈,微信支付/支付宝支付/银联支付,对比加总结(Java服务端)

    今天来说讲支付.前端 工做到如今,接入过好几个项目的支付,其中涉及到了微信支付.支付宝支付.银联支付.服务器 三种支付的对接感觉其实总体上大同小异.都遵循同一个流程:微信 1).商户APP向商户服务器 ...

  8. 个人开发者微信支付和支付宝支付

    个人开发者是不能申请微信支付和支付宝支付的 很多第三方使用添加二维码监听转账操作来实现是否功能

  9. 微信jsapi支付获取code_微信支付(公众号支付JSAPI)

    微信公众号支付/微信浏览器支付(JSAPI) 一:获取微信支付四大参数 步骤二:平台配置 配置支付目录:商户平台. 配置此目录是代码中"微信支付"所在页面的地址,一级域名需ICP备 ...

最新文章

  1. ASP.NET 3.5揭秘-读书笔记1
  2. linux中文乱码问题及locale详解
  3. 简明Python3教程 4.安装
  4. 【Android】init.rc
  5. InputStreamReader和 OutputStreamWriter
  6. [UE4]函数和事件的区别
  7. Session重点整理
  8. CSS基础-行高(height和line-height)【学习笔记】
  9. 多个select count 合并_Milvus查询合并机制
  10. Java实现读取文件夹下(包括子目录)所有文件的文件名
  11. 74HC595中文资料
  12. HTML实现W3school导航栏(附带重置样式表reset.css)
  13. [ROS学习笔记]ROS中使用激光雷达(RPLIDAR)
  14. 相关系数excel_怎样征服老板?教你用excel找到数据之间隐藏信息
  15. 自然语言处理Pytorch实现CharRNN歌词生成
  16. 在新的固态硬盘中安装windows系统(旧固态硬盘已安装ubuntu系统)
  17. SpringData示例
  18. 【SQL Server】 类型转换TRY_PARSE(字符转日期)
  19. idea 远程debug调试
  20. 集米社浅谈下那些令网兼者疯狂的时代。

热门文章

  1. Jackson:我是最牛掰的 Java JSON 解析器(有点虚)
  2. linux下查找系统镜像,LINUX系统镜像下载总汇
  3. 镶嵌数据集工具小结(二)镶嵌数据轮廓线与边界
  4. Java实现批量发送带附件的邮件
  5. DataGridView中使用ContextMenuStrip实现右键菜单
  6. BankCardUtils 根据银行卡号 获取 银行卡类型、银行名称和银行编码 自动格式化银行卡号、手机号、身份证号输入的工具类
  7. oracle添加unique,Oracle unique约束的创建步骤
  8. [附源码]Python计算机毕业设计Django影评网站系统
  9. CESIUM离线三维地球发布教程
  10. oracle 存储过程drop table,利用存储过程实现Oracle的droptableifexists-Oracle