掃二維碼與項目經理(lǐ)溝通(tōng)
我們在微(wēi)信上(shàng)24小(xiǎo)時(shí)期待你(nǐ)的(de)聲音(yīn)
解答(dá)本文(wén)疑問(wèn)/技(jì)術咨詢/運營咨詢/技(jì)術建議(yì)/互聯網交流
昨天有(yǒu)一條關于微(wēi)信支付0元購的(de)消息在開(kāi)發圈裏炸開(kāi)了鍋,所謂0元購并不是用戶抽獎,而是惡意攻擊者利用漏洞實現(xiàn)0元支付。
正常的(de)支付基本流程是這(zhè)樣的(de):用戶發起支付->調起微(wēi)信支付->支付成功->微(wēi)信支付服務器(qì)發送成功通(tōng)知給應用(比如某個(gè)商城(chéng))服務端->應用服務端解析微(wēi)信支付發送的(de)通(tōng)知->解析後的(de)信息進行必要對(duì)比确認後更新訂單為(wèi)已付款狀态。
然而該漏洞,就是惡意利用解析過程,可以造成讀任何文(wén)件(jiàn)、內(nèi)網探測、命令執行等問(wèn)題。
我們在微(wēi)信上(shàng)24小(xiǎo)時(shí)期待你(nǐ)的(de)聲音(yīn)
解答(dá)本文(wén)疑問(wèn)/技(jì)術咨詢/運營咨詢/技(jì)術建議(yì)/互聯網交流