掃二維碼與項目經(jīng)理溝通
我們在微信上24小時期待你的聲音
解答本文疑問/技術(shù)咨詢/運營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流
昨天有一條關(guān)于微信支付0元購的消息在開發(fā)圈里炸開了鍋,所謂0元購并不是用戶抽獎,而是惡意攻擊者利用漏洞實現(xiàn)0元支付。
正常的支付基本流程是這樣的:用戶發(fā)起支付->調(diào)起微信支付->支付成功->微信支付服務(wù)器發(fā)送成功通知給應(yīng)用(比如某個商城)服務(wù)端->應(yīng)用服務(wù)端解析微信支付發(fā)送的通知->解析后的信息進行必要對比確認后更新訂單為已付款狀態(tài)。
然而該漏洞,就是惡意利用解析過程,可以造成讀任何文件、內(nèi)網(wǎng)探測、命令執(zhí)行等問題。
我們在微信上24小時期待你的聲音
解答本文疑問/技術(shù)咨詢/運營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流