7月1日，在老牌漏洞披露平臺Full Disclosure出現(xiàn)了一封寫給微信支付的公開信。發(fā)件人是Rose Jackcode，信的標(biāo)題是《微信支付官方SDK的XXE安全漏洞（微信支付在商戶頁面遺留了一個后門）》。

發(fā)表在漏洞披露平臺Full Disclosure上的公開信

發(fā)件人Rose Jackcode在信中稱，他在微信支付官方SDK（軟件工具開發(fā)包）發(fā)現(xiàn)了一個安全漏洞，此漏洞可導(dǎo)致商家服務(wù)器被入侵，一旦攻擊者獲得商家的關(guān)鍵安全密鑰，就可以通過發(fā)送偽造信息來欺騙商家而無需付費購買任何東西。

在使用微信支付時，商家需要提供通知網(wǎng)址以接受異步支付結(jié)果。問題是微信在JAVA版本SDK中的實現(xiàn)存在一個XXE漏洞。攻擊者可以向通知URL構(gòu)建惡意payload，根據(jù)需要竊取商家服務(wù)器的任何信息。換句話說，黑客利用微信支付的這個漏洞，能實現(xiàn)0元買買買的情況。

為了讓大家信服，Rose Jackcode還貼出了兩張代碼截圖，展示出漏洞利用的過程，中招者是 Vivo和陌陌。

陌陌中招

vivo中招

那么他提到的XXE漏洞到底是什么呢？資料顯示，XXE漏洞即XML外部實體注入漏洞，它通常發(fā)生在應(yīng)用程序解析XML輸入時，沒有禁止外部實體的加載，導(dǎo)致可加載惡意外部文件，造成文件讀取、命令執(zhí)行、內(nèi)網(wǎng)端口掃描、攻擊內(nèi)網(wǎng)網(wǎng)站、發(fā)起DOS攻擊等危害。簡單說就是使用XML后的引用不規(guī)范導(dǎo)致的問題。

值得注意的是，目前漏洞的詳細信息以及攻擊方式已被公開，安全人員建議使用 JAVA語言 SDK（軟件開發(fā)工具包）開發(fā)微信支付功能的商戶，快速檢查并修復(fù)。據(jù)白帽匯安全總監(jiān)“BaCde”向雷鋒網(wǎng)透露，由于微信官方的SDK有問題，目前所有使用基于微信支付JAVA SDK開發(fā)的微信支付功能都可能受影響。

但是為什么Vivo和陌陌會受影響？一個是手機廠商，一個是社交軟件，似乎和微信支付沒有直接關(guān)聯(lián)。

BaCde解釋，Vivo可能是因為其在線商城，比如黑客可以用微信支付不花一分錢來買走在線商城的東西。而對于陌陌中招，則有可能是因為它可以通過微信支付進行會員充值，也有漏洞可以利用。

雷鋒網(wǎng)稱，雖然這篇在國外網(wǎng)站上的披露文章是英文的，但是其技術(shù)人員用了中文的標(biāo)點符號，很有可能是國內(nèi)的技術(shù)人員冒充外國人發(fā)的攻擊詳情。

針對此漏洞，微信支付方面未發(fā)布相關(guān)安全公告。騰訊方面在向媒體回應(yīng)時表示，“微信支付技術(shù)安全團隊已第一時間關(guān)注及排查，并于今天中午對官方網(wǎng)站上該SDK漏洞進行更新，修復(fù)了已知的安全漏洞，并在此提醒商戶及時更新。請大家放心使用微信支付?！?

鄭州做人流價格是多少錢