V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gxustudent
V2EX  ›  信息安全

白帽子发现微信支付的重大漏洞,却先联系了 360,这太搞笑了

  •  
  •   gxustudent · 2018-07-03 12:26:42 +08:00 · 12307 次点击
    这是一个创建于 2336 天前的主题,其中的信息可能已经有所发展或是发生改变。

    随着微信支付逐渐向海外市场普及,越来越多的外国友人及店铺开始使用微信支付。不过却发生了一件有趣的事情,国外一名白帽子发现了微信支付的漏洞,但却不知道如何联系微信安全的人员,竟然在 Twitter 上 @360NetLab。在 360 安全人员转达漏洞之后,微信安全团队已经及时跟进处理这个问题。目测,下一波“微信致谢 360 ”不远了……

    白帽子发现微信支付的重大漏洞,却先联系了 360,这是什么路数啊~ "360 的安全人员也在得知消息之后告知微信团队",这又是什么路数啊~,他们两家不是宿敌吗~ 太搞笑了!

    72 条回复    2018-07-06 21:11:23 +08:00
    justfun
        1
    justfun  
       2018-07-03 12:31:36 +08:00 via Android
    这位小哥可能以为 WeChat 是 360 的?😂
    metrxqin
        2
    metrxqin  
       2018-07-03 12:33:21 +08:00 via iPhone
    说的再漂亮,我也不会用微信支付。
    ho121
        3
    ho121  
       2018-07-03 12:33:41 +08:00 via Android
    漏洞?不是说后门么?
    Cavolo
        4
    Cavolo  
       2018-07-03 12:33:54 +08:00 via iPhone   ❤️ 22
    可能怕被抓到南山法院开庭
    miyuki
        5
    miyuki  
       2018-07-03 12:35:06 +08:00   ❤️ 2
    est
        6
    est  
       2018-07-03 12:35:09 +08:00
    LZ 多半是明知故问吧。twitter 上 360NetLab 比较有名气。大战了很多 botnet 作者,有互动。
    IvanLi127
        7
    IvanLi127  
       2018-07-03 13:14:41 +08:00 via Android
    干得漂亮 哈哈
    huang5587783
        8
    huang5587783  
       2018-07-03 13:21:02 +08:00 via iPhone
    人家没有你想的那么狭隘而已。大公司出招都是讲究一招毙命
    yingfengi
        9
    yingfengi  
       2018-07-03 13:22:05 +08:00 via Android
    这有什么好笑的。。。
    Felldeadbird
        10
    Felldeadbird  
       2018-07-03 13:50:46 +08:00
    应该是微信那边真的很难联系到人吧?然后根据知名度去提交漏洞,感觉没什么不妥。
    overflowHidden
        11
    overflowHidden  
       2018-07-03 13:52:16 +08:00   ❤️ 26
    进一步说明了微信没有客服(滑稽
    LanAiFaZuo
        12
    LanAiFaZuo  
       2018-07-03 13:54:15 +08:00
    白帽子是什么?
    natforum
        13
    natforum  
       2018-07-03 13:55:30 +08:00
    我认识一个意大利的朋友他以为微信是阿里巴巴的
    hx1997
        14
    hx1997  
       2018-07-03 14:06:54 +08:00
    WeChat *unintentionally* provides a xxe vulnerability in the JAVA version SDK which handles this result.
    CDuXZMAPgHp1q9ew
        15
    CDuXZMAPgHp1q9ew  
       2018-07-03 14:16:21 +08:00
    陌陌和 vivo 的微信支付回调地址作者怎么拿到的
    Flobit
        16
    Flobit  
       2018-07-03 14:18:15 +08:00 via Android
    我的 QQ 一到下午就不能给别人发图片了,只能发到群里,给反馈了也没有什么反应。
    anyclue
        17
    anyclue  
       2018-07-03 14:40:00 +08:00
    但却不知道如何联系微信安全的人员

    说的跟谁知道似的,这也笑人家 360 ?
    dalieba
        18
    dalieba  
       2018-07-03 14:45:52 +08:00 via Android
    新一轮 3Q 大战的导火线
    maemual
        19
    maemual  
       2018-07-03 15:35:36 +08:00   ❤️ 1
    这有什么可笑的

    “国外一名白帽子”,人家不认识微信安全团队的人有什么问题? Twitter 上 360 的安全团队在安全圈里比较知名,同为中国企业,人家找上有什么问题?一个国外的白帽子,知不知道腾讯和 360 的纠葛都还存疑。
    jadec0der
        20
    jadec0der  
       2018-07-03 16:21:33 +08:00
    人家可能也想不到一个知名安全公司中立性能这么差
    tianzry
        21
    tianzry  
       2018-07-03 16:25:39 +08:00 via Android
    可能微信和 360 同样绿😃
    oIMOo
        22
    oIMOo  
       2018-07-03 16:28:32 +08:00
    公司虽然有大战, 但是是商业层面的.
    安全,技术这些都还是在良性竞争交流的.
    oIMOo
        23
    oIMOo  
       2018-07-03 16:31:11 +08:00
    @justfun @est @anyclue @maemual @jadec0der
    我感觉楼主的意思是, 找不到微信安全团队的联系方式, 可以找腾讯安全团队啊, 怎么跑去找 360 了.
    这个答案见 #22
    dodo2012
        24
    dodo2012  
       2018-07-03 16:42:10 +08:00   ❤️ 3
    应该说,腾讯的所有部门,你们谁能联系的到人?不管是客服还是技术支持,
    NicholasYX
        25
    NicholasYX  
       2018-07-03 16:53:45 +08:00
    证明了联系不上微信客服文员 滑稽.jpg
    ghiei9101
        26
    ghiei9101  
       2018-07-03 17:00:17 +08:00
    @maemual 全文用英文,中间有几个标点符合却是中文编码的。。。恐怕~~~
    ghiei9101
        27
    ghiei9101  
       2018-07-03 17:01:00 +08:00
    s/标点符合 /标点符号 /
    skadi
        28
    skadi  
       2018-07-03 17:02:55 +08:00
    中文符号...
    stzz
        29
    stzz  
       2018-07-03 17:19:54 +08:00
    ...这话说的,在国内你就能联系到微信的安全团队了?
    Mac
        30
    Mac  
       2018-07-03 17:22:15 +08:00 via Android   ❤️ 7
    实话实说,腾讯客服别说老外了,中国人也联系不上的
    keventseng
        31
    keventseng  
       2018-07-03 17:48:11 +08:00
    估计没人能 @腾讯的人,他们压根就不上网~~~
    ctsed
        32
    ctsed  
       2018-07-03 18:50:14 +08:00 via Android
    竞争都是产品层面的,员工之间互通有无
    to2false
        33
    to2false  
       2018-07-03 18:53:58 +08:00 via Android
    腾讯有客服吗?
    nodin
        34
    nodin  
       2018-07-03 19:12:12 +08:00 via Android
    腾讯有人工客服吗?能联系上吗?
    EIlenZe
        35
    EIlenZe  
       2018-07-03 19:12:57 +08:00 via Android
    说到白帽子.我就想到一个网站...可是这个网站...
    loveCoding
        36
    loveCoding  
       2018-07-03 22:06:56 +08:00
    腾讯根本就没有客服啊
    iiduce
        37
    iiduce  
       2018-07-03 22:15:20 +08:00
    如果你知道,当年盗了马化腾 QQ 黑客的下场,就知道为什么会这样了 😝
    mozutaba
        38
    mozutaba  
       2018-07-03 22:21:04 +08:00
    腾讯家没见过 bot 以外的客服。
    joyfun
        39
    joyfun  
       2018-07-03 22:24:04 +08:00 via Android
    看了下 这个是第三方的锅呀就算用 sdk 秘钥安全都不检验?,还有就是回调地址怎么弄到的
    des
        40
    des  
       2018-07-03 22:26:10 +08:00 via Android
    @EIlenZe
    不用担心,正在升级
    EIlenZe
        41
    EIlenZe  
       2018-07-03 22:39:03 +08:00
    @des #40 这个月就两年了 好快啊
    icyalala
        42
    icyalala  
       2018-07-03 23:03:22 +08:00
    360 安全团队名声在外,互动多,业内大公司之间安全团队也都有联系。
    最后顺利转达,说明这操作很正确嘛~~
    YLGG
        43
    YLGG  
       2018-07-03 23:03:49 +08:00
    还别说 腾讯真的是没客服的
    RIcter
        44
    RIcter  
       2018-07-04 01:39:03 +08:00
    统一回复一下楼上各位。

    1. 这人怎么看也是中国人,中式英文不说,标点符号还是全角的;
    2. 账号刚注册,就发了腾讯的漏洞,并且强行 at 360 ;
    3. 既然是中国人,又是安全圈内的,肯定是知道腾讯的漏洞有一个统一的平台来处理的( TSRC ),然而这人并不提交到 TSRC ;
    4. TSRC 的人员联系这个人,而这个人不是回复表情就是不回复,闪烁其词。

    综上,大家觉得这个人的目的是什么?
    mrjoel
        45
    mrjoel  
       2018-07-04 02:29:57 +08:00
    胡说 哪里有什么白帽子 都是黑的 南山法院了解下

    手动狗头...
    yw9381
        46
    yw9381  
       2018-07-04 04:26:48 +08:00 via Android
    @wujichao 漏洞原因是 Java 版本的 SDK 在对提交来的数据支持 JSON 及 XML 格式的数据。而 XML 的处理未做充分验证导致可以在 XML 中引入外部实体。简单来说是可以造成命令执行(RCE)。读取任意文件以及服务端请求伪造(SSRF)。这种漏洞在业内被称为 XML 扩展实体漏洞(XXE)。相关资料可以看看 OWASP 的介绍
    https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
    所以拿到 CallbackURL 并不是什么难事
    yw9381
        47
    yw9381  
       2018-07-04 04:28:43 +08:00 via Android
    @RIcter 安全圈里。各种撕逼事情多的去了。乱的一匹啊。。。
    yw9381
        48
    yw9381  
       2018-07-04 04:34:52 +08:00 via Android
    @joyfun @wujichao 接上面,你的数据是发给商户服务器。然后商户服务器与微信那边通信的。
    因为 SDK 中存在这个问题。最终的结果就是你向商户服务器发送了恶意的请求。攻击了商户的服务器。服务器上一切秘密的东西对攻击者来说都不秘密。至于伪造一个假订单。低价购买高价格东西也不是什么难事。所以这里面关于密钥以及 callbackurl 都是攻击者能够知道并控制的
    lc4t
        49
    lc4t  
       2018-07-04 06:28:00 +08:00 via iPhone
    感觉是搞事或者技术卖萌的..大概是作者对 tx 感觉不好吧..
    ctsed
        50
    ctsed  
       2018-07-04 08:02:18 +08:00 via Android
    @RIcter 又见阴谋论,你又肯定了?把微信支付商户全部打瘫不更好吗
    Radeon
        51
    Radeon  
       2018-07-04 08:09:04 +08:00
    腾讯非要用 XML 来传递消息,任何语言处理起来都超级麻烦。明明可以全线换用 Json 的
    longear
        52
    longear  
       2018-07-04 08:19:57 +08:00
    @Cavolo 怕跨国?
    sevenzhou1218
        53
    sevenzhou1218  
       2018-07-04 08:44:43 +08:00   ❤️ 1
    WeChat leave a backdoor on merchant websites
    guoyuchuan
        54
    guoyuchuan  
       2018-07-04 09:05:18 +08:00
    说明了 360 在国外的安全圈名声比较大
    mushan099
        55
    mushan099  
       2018-07-04 09:15:58 +08:00   ❤️ 1
    进一步说明了腾讯基本没啥国际影响力
    chaim
        56
    chaim  
       2018-07-04 09:16:00 +08:00
    同被腾讯的 XML 坑过,QQ 的 XML 漏洞,打开陌生链接后被异地登录

    我们公司有问题想找腾讯的工作人员,几乎是联系不上的,有问题自己想办法解决
    misaka19000
        57
    misaka19000  
       2018-07-04 09:19:06 +08:00   ❤️ 1
    我很好奇留后门是不是违反行为,腾讯应不应该为留后门而受到惩罚?
    Kongzong
        58
    Kongzong  
       2018-07-04 09:34:25 +08:00 via iPhone
    Qihoo 360 ? I hope to be able to contact with WeChat Pay quickly.
    goodbyennn
        59
    goodbyennn  
       2018-07-04 09:43:31 +08:00
    同样。 之前开发微信商城遇到问题,找微信支付以及微信公众号的人工客服死活找不着。 反倒是微信朋友圈广告,首页大写加粗的 400 电话。
    CtrlSpace
        60
    CtrlSpace  
       2018-07-04 09:48:37 +08:00
    这个没什么好笑的,脑补太多情节了大兄弟
    zzsx1937
        61
    zzsx1937  
       2018-07-04 09:50:49 +08:00 via Android
    没办法,微信图标是绿的| ू•ૅω•́)ᵎᵎᵎ
    Marmot
        62
    Marmot  
       2018-07-04 10:00:04 +08:00
    对不起,我们微信没有客服
    ljh0585
        63
    ljh0585  
       2018-07-04 10:07:59 +08:00
    请先充值到心悦 3
    woyao
        64
    woyao  
       2018-07-04 11:44:47 +08:00
    @ghiei9101 哪里中文编码了?
    metas
        65
    metas  
       2018-07-04 11:59:02 +08:00
    @ctsed 他估计是腾讯的,当然这样说了。
    RIcter
        66
    RIcter  
       2018-07-04 13:01:19 +08:00 via Android
    @ctsed
    @metas
    你又肯定不是了,这比的英文和标点自己看看去。脑门子上面写的老子要搞事看不出来怕不是瞎。
    ctsed
        67
    ctsed  
       2018-07-04 13:07:02 +08:00 via Android
    @metas 问了下,还真是腾讯的,哈哈哈,怼不得怼不得,向大佬道歉。
    ghiei9101
        68
    ghiei9101  
       2018-07-04 13:54:10 +08:00
    ghiei9101
        69
    ghiei9101  
       2018-07-04 13:55:40 +08:00
    @woyao 回撤就发出去了,我去~~~
    这条推文作者自己删了,哈哈哈,,,,为什么偏偏删了这条推文~~~

    echo "Pay sdk ( deserialization RCE ) !!!!! (his wife is beautiful)"|xxd

    00000000: 5061 7920 7364 6bef bc88 6465 7365 7269 Pay sdk...deseri
    00000010: 616c 697a 6174 696f 6e20 2020 5243 4520 alization RCE
    00000020: 2020 2920 efbc 81ef bc81 efbc 81ef bc81 ) ............
    00000030: efbc 8120 2868 6973 2077 6966 6520 6973 ... (his wife is
    00000040: 2062 6561 7574 6966 756c 290a beautiful).
    ladypxy
        70
    ladypxy  
       2018-07-04 14:27:40 +08:00
    正常
    你基本找不到任何可以联系到腾讯的方式。。。不管任何服务
    woyao
        71
    woyao  
       2018-07-05 11:53:10 +08:00
    @ghiei9101 哈,难道你是 wepay 的?
    lingaoyi
        72
    lingaoyi  
       2018-07-06 21:11:23 +08:00
    不是说微信支付好牛逼的吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2637 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 10:59 · PVG 18:59 · LAX 02:59 · JFK 05:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.