其實這個東西對個人的影響不大,關鍵是商家或者是sdk的使用公司影響很大。
在微信支付官方SDK(軟件工具開發包)發現了壹個安全漏洞,此漏洞可導致商家服務器被入侵,壹旦攻擊者獲得商家的關鍵安全密鑰,就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。
在使用微信支付時,商家需要提供通知網址以接受異步支付結果。問題是微信在JAVA版本SDK中的實現存在壹個XXE漏洞。攻擊者可以向通知URL構建惡意payload,根據需要竊取商家服務器的任何信息。換句話說,黑客利用微信支付的這個漏洞,能實現0元買買買的情況。