又到月初了，你的花唄賬單還清了嗎？

如果有人告訴你，現(xiàn)在不用你花一分錢(qián)，就能在某些電商平臺(tái)隨便買(mǎi)，你會(huì)相信嗎？

恩，我知道聰慧的你，是不會(huì)相信天上掉餡餅的~

那如果這個(gè)人是黑客呢？

7月3日，據(jù)白帽匯安全研究院的消息，有網(wǎng)友在國(guó)外的安全社區(qū)公布了微信支付官方SDK（軟件工具開(kāi)發(fā)包）存在的嚴(yán)重漏洞，此漏洞可導(dǎo)致商家服務(wù)器被入侵，一旦攻擊者獲得商家的關(guān)鍵安全密鑰（md5-key和merchant-Id等），他就可以通過(guò)發(fā)送偽造信息來(lái)欺騙商家而無(wú)需付費(fèi)購(gòu)買(mǎi)任何東西。

在使用微信支付時(shí)，商家需要提供通知網(wǎng)址以接受異步支付結(jié)果。 問(wèn)題是微信在JAVA版本SDK中的實(shí)現(xiàn)存在一個(gè)xxe漏洞。 攻擊者可以向通知URL構(gòu)建惡意payload，根據(jù)需要竊取商家服務(wù)器的任何信息。

換句話(huà)說(shuō)，黑客利用微信支付的這個(gè)漏洞，能實(shí)現(xiàn)0元買(mǎi)買(mǎi)買(mǎi)的情況。

這并不是說(shuō)說(shuō)而已，這位網(wǎng)友還直接甩出了兩張圖，展示出漏洞利用的過(guò)程，中招者是vivo和陌陌。

▲陌陌的微信支付漏洞利用過(guò)程

▲vivo的微信支付漏洞利用過(guò)程

值得注意的是，目前漏洞的詳細(xì)信息以及攻擊方式已被公開(kāi)，安全人員建議使用JAVA語(yǔ)言SDK（軟件開(kāi)發(fā)工具包）開(kāi)發(fā)微信支付功能的商戶(hù)，快速檢查并修復(fù)。（此處解釋一下，微信官方發(fā)布了自己的微信支付開(kāi)發(fā)包，許多開(kāi)發(fā)人員選擇使用官方最新版本，一般來(lái)講，SDK是按照編程語(yǔ)言區(qū)分，如果網(wǎng)站使用的是同一種語(yǔ)言，那么其開(kāi)發(fā)使用的也就是對(duì)應(yīng)種語(yǔ)言。但也有特殊情況，就是不使用官方的開(kāi)發(fā)包，而使用開(kāi)源的或自行開(kāi)發(fā)的，這樣相對(duì)較少。）

那么，微信支付的官方SDK究竟誰(shuí)會(huì)用？范圍多大？為什么黑客選擇陌陌和vivo開(kāi)刀？商家和用戶(hù)會(huì)受到哪些影響？知道這個(gè)漏洞的黑客為什么不自己“悶聲發(fā)大財(cái)”，而要選擇將攻擊方式公開(kāi)？

誰(shuí)會(huì)用到微信支付的SDK

文章開(kāi)頭提到，這個(gè)漏洞是關(guān)于微信支付的官方SDK的，那究竟誰(shuí)會(huì)用到此類(lèi)SDK呢？

白帽匯安全總監(jiān)“BaCde” 告訴雷鋒網(wǎng)，所有需要開(kāi)通微信支付的商家都很有可能用到！

比如，我們平時(shí)使用微信支付的時(shí)候，都會(huì)有一個(gè)付款的二維碼，或者網(wǎng)購(gòu)的時(shí)候，也有微信的支付渠道。這就需要商家與微信支付建立一個(gè)專(zhuān)屬通道。以你去買(mǎi)面包為例，在你掃碼的瞬間，微信支付和商家的對(duì)話(huà)是這樣的：

微信支付：你是哪家店？

面包店：我是某某面包店，我的代號(hào)是***

微信支付：訂單是你生成的嗎？

面包店：是的。

微信支付：我收到了50塊，錢(qián)數(shù)對(duì)嗎？

面包店：對(duì)的。

微信支付：對(duì)的話(huà)你們訂單系統(tǒng)趕緊處理一下，人家付款成功了。

面包店：好的，這就處理。

這個(gè)過(guò)程叫“商戶(hù)回調(diào)接口”，也就是說(shuō)，所有的商戶(hù)要想開(kāi)通微信支付，不管是線(xiàn)上還是線(xiàn)下的，都需要通過(guò)與微信支付的這個(gè)接口來(lái)交流，這個(gè)接口有一套標(biāo)準(zhǔn)的定義，比如訂單號(hào)、用戶(hù)信息、價(jià)格等，最后有一個(gè)簽名來(lái)保證雙方交易的真實(shí)可靠。

這時(shí)，微信官方為了方便商戶(hù)，一般都會(huì)有一個(gè)官方的SDK，來(lái)使得各家商戶(hù)更加順暢和安全地接入微信支付，這時(shí)，這個(gè)SDK開(kāi)發(fā)包就存在了這些商戶(hù)的服務(wù)器上，與此同時(shí)，開(kāi)發(fā)包的漏洞也就直接影響了商戶(hù)服務(wù)器的安全性。

如果有一天，黑客利用SDK上面的漏洞控制了商家的服務(wù)器，那么這些訂單狀態(tài)、用戶(hù)信息和價(jià)格等就很有可能被黑客拿走并且進(jìn)行篡改。

據(jù) BaCde 透露，由于微信官方的SDK有問(wèn)題，目前所有使用基于微信支付JAVA SDK開(kāi)發(fā)的微信支付功能都可能受影響。

那黑客為什么選擇陌陌和vivo來(lái)開(kāi)刀呢？聽(tīng)起來(lái)，這兩家一個(gè)是手機(jī)廠(chǎng)商，一個(gè)是社交軟件，和我們平時(shí)刷二維碼或者網(wǎng)購(gòu)的某某商家還是有區(qū)別。

BaCde 解釋?zhuān)瑅ivo這個(gè)可能是vivo的在線(xiàn)商城，比如黑客可以用微信支付不花一分錢(qián)來(lái)買(mǎi)走在線(xiàn)商城的東西。而對(duì)于陌陌中招，則有可能是因?yàn)樗梢酝ㄟ^(guò)微信支付進(jìn)行會(huì)員充值，也有漏洞可以利用。

所以，也許這名攻擊者是經(jīng)常用vivo手機(jī)的單身狗？

商戶(hù)、用戶(hù)和黑客

如果你是一名商戶(hù)，會(huì)有哪些影響？

以在線(xiàn)商城的商戶(hù)為例，如果你所應(yīng)用的語(yǔ)言是JAVA（目前漏洞針對(duì)的是JAVA），接入微信支付功能的第一步，首先要在微信的官方網(wǎng)站找到 JAVA 語(yǔ)言的 SDK 開(kāi)發(fā)包，當(dāng)開(kāi)發(fā)人員編寫(xiě)不規(guī)范而開(kāi)發(fā)出有漏洞的微信支付功能，黑客發(fā)現(xiàn)后，就可通過(guò)竊取商戶(hù)信息，進(jìn)而偽造網(wǎng)絡(luò)請(qǐng)求進(jìn)行0元購(gòu)買(mǎi)商品的操作，以及獲取數(shù)據(jù)信息。

這里要強(qiáng)調(diào)一下，雖然這里的開(kāi)發(fā)人員是商戶(hù)的開(kāi)發(fā)人員，但其根本原因還是由于微信支付的SDK在某處存在安全問(wèn)題，所以要解決漏洞，還得從官方的SDK來(lái)解決。

如果我是普通的用戶(hù)呢？

最直接的影響就是，你在商家后臺(tái)的用戶(hù)信息已經(jīng)被暴露了，而黑客拿到這些信息可以去暗網(wǎng)上兜售。緊接著，你成為了垃圾信息的受害者。

而對(duì)于黑客來(lái)說(shuō)，通過(guò)這個(gè)漏洞，不僅可以0元買(mǎi)買(mǎi)買(mǎi)，還可以通過(guò)倒賣(mài)用戶(hù)信息小賺一筆。

漏洞影響

雷鋒網(wǎng)發(fā)現(xiàn)，目前，陌陌和 vivo 已經(jīng)修復(fù)了相關(guān)的漏洞，但針對(duì)此漏洞，微信官方并未發(fā)布相關(guān)安全公告，也沒(méi)有更新微信支付的SDK版本。

也就是說(shuō)，所有使用微信支付官方SDK的商戶(hù)，并且語(yǔ)言是JAVA的，都還處于被攻擊的危險(xiǎn)之中。

那既然微信官方都沒(méi)修復(fù)，陌陌和vivo是怎么修復(fù)的？

BaCde解釋?zhuān)澳昂蛌ivo本身有相應(yīng)的安全能力，可以修改SDK的相應(yīng)代碼進(jìn)行修復(fù)，自行解決。但如果是一些小的商戶(hù)，就沒(méi)有這個(gè)能力了。

據(jù)悉，雖然目前該漏洞影響的是JAVA版本的SDK，但歷史上已經(jīng)出現(xiàn)過(guò)PHP版本的SDK存在同樣的漏洞。據(jù)BaCde透露，這次的漏洞是XML外部實(shí)體注入漏洞，即當(dāng)允許引用外部實(shí)體時(shí)，通過(guò)構(gòu)造惡意內(nèi)容，可導(dǎo)致讀取任意文件、執(zhí)行系統(tǒng)命令、探測(cè)內(nèi)網(wǎng)端口、攻擊內(nèi)網(wǎng)網(wǎng)站等危害。

對(duì)于攻擊者來(lái)說(shuō)，這么好的賺錢(qián)機(jī)會(huì)，悶聲發(fā)大財(cái)就好了，為什么要選擇公開(kāi)攻擊方式？

據(jù)白帽匯創(chuàng)始人趙武推測(cè)，直接公開(kāi)這種級(jí)別的大殺器確實(shí)太不尋常，他這樣做的原因，不排除是黑客在利用漏洞的過(guò)程中發(fā)現(xiàn)痕跡擦不干凈，有可能被查出來(lái)，所以馬上對(duì)外公布，讓廣大黑客群體發(fā)起攻擊，以便淹沒(méi)自己最初的攻擊，達(dá)到隱藏自己的效果。

值得注意的是，雖然這篇在國(guó)外網(wǎng)站上的披露文章是英文的，但是其技術(shù)人員用了中文的標(biāo)點(diǎn)符號(hào)，很有可能是國(guó)內(nèi)的技術(shù)人員冒充外國(guó)人發(fā)的攻擊詳情。

騰訊已經(jīng)知曉并修復(fù)了漏洞

目前，雷鋒網(wǎng)發(fā)現(xiàn)，該漏洞在推特上也有安全人員提出來(lái)了，這位仁兄可能不太認(rèn)識(shí)騰訊的安全小哥，直接@360來(lái)尋人，然后360把漏洞的鏈接發(fā)給了騰訊的人，認(rèn)證為騰訊安全響應(yīng)中心的人也在推特下面進(jìn)行了回復(fù)，表示正在處理。

騰訊方面對(duì)雷鋒網(wǎng)表示，7月3日下午6點(diǎn)左右，他們對(duì)部分媒體回應(yīng)稱(chēng)，3日中午已經(jīng)對(duì)官方網(wǎng)站上的SDK漏洞進(jìn)行了處理，修復(fù)了已知的安全漏洞，并提醒商戶(hù)及時(shí)更新。

消息來(lái)源：白帽匯，F(xiàn)reebuf

漏洞詳情及演示過(guò)程：http://seclists.org/fulldisclosure/2018/Jul/3

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。