微信支付曝安全漏洞 无需付费购买任何东西

微信支付曝安全漏洞  无需付费购买任何东西

如果有人告诉你，现在不用你花一分钱，就能在某些电商平台随便买，你会相信吗?

恩，我知道聪慧的你，是不会相信天上掉馅饼的~

那如果这个人是黑客呢?

近日有网友在国外安全社区公布了微信支付官方SDK存在的严重漏洞，此漏洞可侵入商家服务器，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。

该网友还晒出了如何利用漏洞进行消费的截图，演示中使用的vivo和陌陌。利用这个漏洞，黑客可以购买商品，并有泄露用户信息的风险。

目前，微信支付方面未发布相关安全公告。腾讯方面表示，微信支付技术安全团队已第一时间关注及排查，并于对官方网站上该SDK漏洞进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。

商户、用户和黑客

如果你是一名商户，会有哪些影响?

以在线商城的商户为例，如果你所应用的语言是JAVA(目前漏洞针对的是JAVA)，接入微信支付功能的第一步，首先要在微信的官方网站找到JAVA语言的SDK开发包，当开发人员编写不规范而开发出有漏洞的微信支付功能，黑客发现后，就可通过窃取商户信息，进而伪造网络请求进行0元购买商品的操作，以及获取数据信息。

这里要强调一下，虽然这里的开发人员是商户的开发人员，但其根本原因还是由于微信支付的SDK在某处存在安全问题，所以要解决漏洞，还得从官方的SDK来解决。

如果我是普通的用户呢?

最直接的影响就是，你在商家后台的用户信息已经被暴露了，而黑客拿到这些信息可以去暗网上兜售。紧接着，你成为了垃圾信息的受害者。

而对于黑客来说，通过这个漏洞，不仅可以0元买买买，还可以通过倒卖用户信息小赚一笔。