微信支付被曝漏洞陌陌vivo等商家可0元随便买（2）_游戏新闻

商户、用户和黑客

如果你是一名商户，会有哪些影响？

以在线商城的商户为例，如果你所应用的语言是JAVA（目前漏洞针对的是JAVA），接入微信支付功能的第一步，首先要在微信的官方网站找到JAVA语言的SDK开发包，当开发人员编写不规范而开发出有漏洞的微信支付功能，黑客发现后，就可通过窃取商户信息，进而伪造网络请求进行0元购买商品的操作，以及获取数据信息。

这里要强调一下，虽然这里的开发人员是商户的开发人员，但其根本原因还是由于微信支付的SDK在某处存在安全问题，所以要解决漏洞，还得从官方的SDK来解决。

如果我是普通的用户呢？

最直接的影响就是，你在商家后台的用户信息已经被暴露了，而黑客拿到这些信息可以去暗网上兜售。紧接着，你成为了垃圾信息的受害者。

而对于黑客来说，通过这个漏洞，不仅可以0元买买买，还可以通过倒卖用户信息小赚一笔。

漏洞影响

雷锋网发现，目前，陌陌和vivo已经修复了相关的漏洞，但针对此漏洞，微信官方并未发布相关安全公告，也没有更新微信支付的SDK版本。

也就是说，所有使用微信支付官方SDK的商户，并且语言是JAVA的，都还处于被攻击的危险之中。

那既然微信官方都没修复，陌陌和vivo是怎么修复的？

BaCde解释，陌陌和vivo本身有相应的安全能力，可以修改SDK的相应代码进行修复，自行解决。但如果是一些小的商户，就没有这个能力了。

据悉，虽然目前该漏洞影响的是JAVA版本的SDK，但历史上已经出现过PHP版本的SDK存在同样的漏洞。据BaCde透露，这次的漏洞是XML外部实体注入漏洞，即当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

对于攻击者来说，这么好的赚钱机会，闷声发大财就好了，为什么要选择公开攻击方式？

据白帽汇创始人赵武推测，直接公开这种级别的大杀器确实太不寻常，他这样做的原因，不排除是黑客在利用漏洞的过程中发现痕迹擦不干净，有可能被查出来，所以马上对外公布，让广大黑客群体发起攻击，以便淹没自己最初的攻击，达到隐藏自己的效果。