昨天有一條關于微信支付0元購(gòu)的(de)消息在開發圈裏炸開了(le)鍋,所謂0元購(gòu)并不是用(yòng)戶抽獎,而是惡意攻擊者利用(yòng)漏洞實現0元支付。
正常的(de)支付基本流程是這(zhè)樣的(de):用(yòng)戶發起支付->調起微信支付->支付成功->微信支付服務器發送成功通(tōng)知給應用(yòng)(比如某個(gè)商城(chéng))服務端->應用(yòng)服務端解析微信支付發送的(de)通(tōng)知->解析後的(de)信息進行必要對(duì)比确認後更新訂單爲已付款狀态。
然而該漏洞,就是惡意利用(yòng)解析過程,可(kě)以造成讀任何文件、内網探測、命令執行等問題。
本文部分(fēn)内容收集整理(lǐ)自網絡,僅供分(fēn)享和(hé)交流,版權歸原作者所有,如涉及您的(de)版權,請與我們聯系,我們将在第一時(shí)間删除。上一篇:一個(gè)神奇的(de)“bug”挽回了(le)整台服務器的(de)數據
下(xià)一篇:Discuz用(yòng)戶分(fēn)表後怎麽通(tōng)過uid獲取用(yòng)戶信息的(de)方法
企業微信客服