白帽子发现微信支付的重大漏洞,却先联系了 360,这太搞笑了

2018-07-03 12:26:42 +08:00
 gxustudent

随着微信支付逐渐向海外市场普及,越来越多的外国友人及店铺开始使用微信支付。不过却发生了一件有趣的事情,国外一名白帽子发现了微信支付的漏洞,但却不知道如何联系微信安全的人员,竟然在 Twitter 上 @360NetLab。在 360 安全人员转达漏洞之后,微信安全团队已经及时跟进处理这个问题。目测,下一波“微信致谢 360 ”不远了……

白帽子发现微信支付的重大漏洞,却先联系了 360,这是什么路数啊~ "360 的安全人员也在得知消息之后告知微信团队",这又是什么路数啊~,他们两家不是宿敌吗~ 太搞笑了!

12326 次点击
所在节点    信息安全
72 条回复
EIlenZe
2018-07-03 22:39:03 +08:00
@des #40 这个月就两年了 好快啊
icyalala
2018-07-03 23:03:22 +08:00
360 安全团队名声在外,互动多,业内大公司之间安全团队也都有联系。
最后顺利转达,说明这操作很正确嘛~~
YLGG
2018-07-03 23:03:49 +08:00
还别说 腾讯真的是没客服的
RIcter
2018-07-04 01:39:03 +08:00
统一回复一下楼上各位。

1. 这人怎么看也是中国人,中式英文不说,标点符号还是全角的;
2. 账号刚注册,就发了腾讯的漏洞,并且强行 at 360 ;
3. 既然是中国人,又是安全圈内的,肯定是知道腾讯的漏洞有一个统一的平台来处理的( TSRC ),然而这人并不提交到 TSRC ;
4. TSRC 的人员联系这个人,而这个人不是回复表情就是不回复,闪烁其词。

综上,大家觉得这个人的目的是什么?
mrjoel
2018-07-04 02:29:57 +08:00
胡说 哪里有什么白帽子 都是黑的 南山法院了解下

手动狗头...
yw9381
2018-07-04 04:26:48 +08:00
@wujichao 漏洞原因是 Java 版本的 SDK 在对提交来的数据支持 JSON 及 XML 格式的数据。而 XML 的处理未做充分验证导致可以在 XML 中引入外部实体。简单来说是可以造成命令执行(RCE)。读取任意文件以及服务端请求伪造(SSRF)。这种漏洞在业内被称为 XML 扩展实体漏洞(XXE)。相关资料可以看看 OWASP 的介绍
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
所以拿到 CallbackURL 并不是什么难事
yw9381
2018-07-04 04:28:43 +08:00
@RIcter 安全圈里。各种撕逼事情多的去了。乱的一匹啊。。。
yw9381
2018-07-04 04:34:52 +08:00
@joyfun @wujichao 接上面,你的数据是发给商户服务器。然后商户服务器与微信那边通信的。
因为 SDK 中存在这个问题。最终的结果就是你向商户服务器发送了恶意的请求。攻击了商户的服务器。服务器上一切秘密的东西对攻击者来说都不秘密。至于伪造一个假订单。低价购买高价格东西也不是什么难事。所以这里面关于密钥以及 callbackurl 都是攻击者能够知道并控制的
lc4t
2018-07-04 06:28:00 +08:00
感觉是搞事或者技术卖萌的..大概是作者对 tx 感觉不好吧..
ctsed
2018-07-04 08:02:18 +08:00
@RIcter 又见阴谋论,你又肯定了?把微信支付商户全部打瘫不更好吗
Radeon
2018-07-04 08:09:04 +08:00
腾讯非要用 XML 来传递消息,任何语言处理起来都超级麻烦。明明可以全线换用 Json 的
longear
2018-07-04 08:19:57 +08:00
@Cavolo 怕跨国?
sevenzhou1218
2018-07-04 08:44:43 +08:00
WeChat leave a backdoor on merchant websites
guoyuchuan
2018-07-04 09:05:18 +08:00
说明了 360 在国外的安全圈名声比较大
mushan099
2018-07-04 09:15:58 +08:00
进一步说明了腾讯基本没啥国际影响力
chaim
2018-07-04 09:16:00 +08:00
同被腾讯的 XML 坑过,QQ 的 XML 漏洞,打开陌生链接后被异地登录

我们公司有问题想找腾讯的工作人员,几乎是联系不上的,有问题自己想办法解决
misaka19000
2018-07-04 09:19:06 +08:00
我很好奇留后门是不是违反行为,腾讯应不应该为留后门而受到惩罚?
Kongzong
2018-07-04 09:34:25 +08:00
Qihoo 360 ? I hope to be able to contact with WeChat Pay quickly.
goodbyennn
2018-07-04 09:43:31 +08:00
同样。 之前开发微信商城遇到问题,找微信支付以及微信公众号的人工客服死活找不着。 反倒是微信朋友圈广告,首页大写加粗的 400 电话。
CtrlSpace
2018-07-04 09:48:37 +08:00
这个没什么好笑的,脑补太多情节了大兄弟

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/467747

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX