Se descubrió una vulnerabilidad en el pago de WeChat ¿Cree que se verá afectada?
De hecho, este asunto tiene poco impacto en los individuos. La clave es que tiene un gran impacto en los comerciantes o empresas que utilizan el SDK.
Se descubrió una vulnerabilidad de seguridad en el SDK (kit de desarrollo de herramientas de software) oficial de WeChat Pay, que puede llevar a que el servidor del comerciante se vea comprometido. Una vez que el atacante obtiene la clave de seguridad del comerciante, puede enviar información falsificada. comerciantes sin pagar ninguna tarifa.
Al utilizar WeChat Pay, los comerciantes deben proporcionar una URL de notificación para aceptar resultados de pago asincrónicos. El problema es que la implementación de WeChat en la versión JAVA del SDK tiene una vulnerabilidad XXE. Un atacante puede crear una carga útil maliciosa en la URL de notificación y robar cualquier información del servidor del comerciante si lo desea. En otras palabras, los piratas informáticos pueden utilizar esta vulnerabilidad en el pago de WeChat para realizar el escenario de pagar 0 yuanes.