微信支付紧急发布新版Java SDK套件封堵0元购漏洞

日前有开发者发现腾讯公司旗下的微信支付开发套件存在漏洞, 攻击者可利用构造恶意的回调数据窃取信息。

该漏洞主要影响使用微信支付的商户,如果商户使用微信支付官方版的Java SDK工具包则会受到该漏洞影响。

微信支付紧急发布新版Java SDK套件封堵0元购漏洞

微信发布的公告称该漏洞主要是XXE 外部实体注入漏洞,攻击者借助该漏洞可获取商户服务器上的任何数据。

同时微信官方也否认该问题是微信支付系统的漏洞,漏洞的原因主要是XML组件默认没有禁用外部实体引用

若攻击者利用漏洞获得微信支付的商户账号和密钥,则可以伪造数据后直接实现 0 元购购买商家的任何商品

目前微信支付官方已经发布新版SDK套件并提醒商家及时更新, 并对现有支付数据进行排查防止出现欺诈等。

微信支付官方公告和 SDK 地址如下: https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

本文由 蓝点网 作者:山外的鸭子哥 发表,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
1
限时免费领取正版套装:全方位PDF软件文电通PDF 5正版套装
哇哦恭喜您已成功屏蔽了蓝点网的小广告

评论:

1 条评论,访客:1 条,站长:0 条
  1. Ziv
    Ziv发布于: 
    Sogou Explorer Sogou Explorer Windows 10 64位版 Windows 10 64位版

    要不要以身试法啊,,,好想好想

发表评论