近日，關(guān)于微信支付存在安全漏洞的消息，引發(fā)商戶們的關(guān)注討論，甚至恐慌。   　　7月3日，有用戶在安全社區(qū)公布了微信支付官方SDK(軟件工具開發(fā)包)存在的漏洞，此漏洞可導(dǎo)致商家服務(wù)器被入侵，一旦攻擊者獲得商家的關(guān)鍵安全密鑰，攻擊者可以竊取商家服務(wù)器的任何信息，通過發(fā)送偽造信息來欺騙商家，無需給商家付款即可白拿任何東西，也就是所謂的“0元購”。   　　漏洞消息曝出后，7月5日，微信支付官方對外表示漏洞已修復(fù)，商家不必過度恐慌。   　　至今，該安全漏洞被曝光已20天，有安全技術(shù)人員做了測試演示后發(fā)現(xiàn)，大量商戶依然暴露在漏洞下。由于該漏洞涉及安全技術(shù)問題非常專業(yè)，商戶不知道具體如何操作，及時更新修復(fù)漏洞、規(guī)避風(fēng)險，因此產(chǎn)生疑慮，甚至恐慌。   　　微信支付曝安全漏洞20天，百萬商戶“裸奔”，可不付款“0元購”   　　微信支付安全漏洞在商戶群引發(fā)恐慌。   　　對于商戶的疑慮和關(guān)切，微信方面昨日回復(fù)《零售老板內(nèi)參》APP（微信ID：lslb168），稱“該漏洞為常見漏洞，此次問題服務(wù)器實(shí)際影響范圍不大，完全可控”，微信針對漏洞問題已經(jīng)發(fā)布了《關(guān)于XML解析存在的安全問題指引》，并提供了《檢查及修復(fù)建議》。   　　然而，在一些討論此事的網(wǎng)絡(luò)社區(qū)和社群中，根據(jù)安全技術(shù)人員的提示，筆者從代碼托管平臺上搜索發(fā)現(xiàn)大量商戶漏洞依然存在，不少商戶的漏洞并未得到修復(fù)和控制。   　　- 1 -   　　安全漏洞：遭攻擊可不付款白拿，甚至泄漏商戶的消費(fèi)者信息   　　上述安全漏洞問題，究竟是怎么一回事呢？   　　安全技術(shù)專家、斗象科技聯(lián)合創(chuàng)始人謝忱解釋，從當(dāng)前被公開的漏洞信息來看，網(wǎng)絡(luò)攻擊者可利用了微信支付官方SDK（軟件工具開發(fā)包）存在的漏洞，將自己偽裝成“微信支付平臺”，繼而通過微信的漏洞實(shí)現(xiàn)偽造與商戶的直接通信，在篡改微信的正常通信信息后達(dá)到“偷梁換柱”的目的。   　　謝忱介紹，正常的支付流程應(yīng)該是由用戶發(fā)起，經(jīng)由微信支付平臺到達(dá)商家，商家會有一個與微信支付平臺確認(rèn)支付結(jié)果的過程，而網(wǎng)絡(luò)攻擊者恰恰是利用了相關(guān)漏洞“騙”過了商戶。一些商家的安全防護(hù)水平較低，攻擊者獲取該商戶的密鑰，再通過這個漏洞就可以實(shí)現(xiàn)“0元購”等操作，嚴(yán)重者還可能會導(dǎo)致商戶的消費(fèi)者信息等數(shù)據(jù)內(nèi)容泄漏。   　　微信支付曝安全漏洞20天，百萬商戶“裸奔”，可不付款“0元購”   　　支付安全漏洞“0元購”等操作，嚴(yán)重者還可能會導(dǎo)致商戶的消費(fèi)者信息等數(shù)據(jù)內(nèi)容泄漏。   　　對于安全漏洞問題，微信方面回復(fù)《零售老板內(nèi)參》APP（微信ID：lslb168）說，本次漏洞本質(zhì)為商戶自身服務(wù)器后臺系統(tǒng)中存在XML外部實(shí)體注入漏洞(簡稱XXE)，微信支付技術(shù)安全團(tuán)隊(duì)第一時間關(guān)注及排查，并已對官方網(wǎng)站上受影響的服務(wù)器端SDK漏洞進(jìn)行更新，修復(fù)了已知的安全漏洞，并已提醒商戶及時更新。   　　微信方面表示，“該漏洞為常見漏洞，只要在程序接收到XML數(shù)據(jù)進(jìn)行解析之前，調(diào)用相關(guān)的函數(shù)關(guān)閉XML語言的上述特性即可有效防范和解決。目前已經(jīng)啟動商戶的安全提示，提示商戶主動排查其自建系統(tǒng)是否存在該漏洞，并給出修復(fù)指引，進(jìn)行協(xié)助。”   　　- 2 -   　　安全漏洞已修復(fù)？實(shí)測大量商戶仍暴露在漏洞下   　　微信表示修復(fù)了已知的安全漏洞，商家不必過度恐慌。   　　然而，在一些網(wǎng)絡(luò)社區(qū)和社群中，針對此漏洞的討論和疑慮仍在蔓延。筆者根據(jù)網(wǎng)絡(luò)社區(qū)和社群中參與討論的安全技術(shù)人員的提示，在代碼托管平臺Github、碼云上，搜尋漏洞函數(shù)以及notify關(guān)鍵字等，很容易就能找到存在漏洞的商家。   　　微信支付曝安全漏洞20天，百萬商戶“裸奔”，可不付款“0元購”   　　微信支付安全漏洞依舊存在。   　　安全技術(shù)人員介紹，如代碼中出現(xiàn)“notify_url=http://xxx”，出現(xiàn)這個以后不用看代碼邏輯，可進(jìn)行黑盒批量測試進(jìn)行撿漏；發(fā)現(xiàn)notify接口函數(shù)調(diào)用了微信sdk存在漏洞版本的WXPayUtil.xmlToMap函數(shù)，或者商戶自己實(shí)現(xiàn)xml解析函數(shù)但未禁用外部實(shí)體，這樣的商戶依然存在漏洞。經(jīng)搜索和對比，發(fā)現(xiàn)了大量的商家漏洞仍然存在。   　　- 3 -   　　商戶如何規(guī)避風(fēng)險？微信發(fā)布安全問題指引及修復(fù)建議   　　由于微信支付接入的商家數(shù)量達(dá)到上百萬，使用微信支付老版本的商戶自然不在少數(shù)。雖然微信官方更新了系統(tǒng)，不過，《零售老板內(nèi)參》詢問一些零售商戶了解到，由于商戶平臺并非需要每天登錄，目前還有不少商戶并不知曉有此更新，甚至有些集成商戶由于集成商沒有通知，導(dǎo)致他們至今不知道該如何是好。   　　這些安全技術(shù)問題對小微商戶來講，普遍有一定難度，他們不清楚具體該如何操作才能規(guī)避漏洞和風(fēng)險。這也是目前商戶存在恐慌情緒的原因。   　　對此，微信方面向《零售老板內(nèi)參》表示，微信目前已經(jīng)啟動商戶的安全提示，提示商戶主動排查其自建系統(tǒng)是否存在該漏洞，并給出修復(fù)指引進(jìn)行協(xié)助，“正在加快客服與商戶的溝通，主要是引導(dǎo)規(guī)避漏洞”。   　　此外，微信支付會協(xié)助商戶發(fā)現(xiàn)和排除安全問題，共同提升移動支付整體安全性，并已發(fā)布了《關(guān)于XML解析存在的安全問題指引》（可以點(diǎn)擊進(jìn)入微信支付商戶平臺查看：   　　https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5   　　《安全問題指引》向商戶強(qiáng)調(diào)，“如果你在使用支付業(yè)務(wù)回調(diào)通知中，存在以下場景有使用XML解析的情況，請務(wù)必檢查是否對進(jìn)行了防范。”   　　其中，包括以下5大主要場景：   　　場景1：支付成功通知；   　　場景2：退款成功通知；   　　場景3：委托代扣簽約、解約、扣款通知；   　　場景4：車主解約通知；   　　場景5：掃碼支付模式一回調(diào)；   　?。ㄗⅲ篈PP支付的用戶端SDK不受影響，但APP支付成功回調(diào)通知里面要檢查。）   　　同時，由于微信支付商家用戶數(shù)量規(guī)模龐大，一些小微商戶和零售老板們反映，不知道在哪些渠道獲取具體操作信息。如何告知商戶，如何確保商戶都能確實(shí)收到更新通知信息？   　　微信方面回復(fù)稱，微信支付會通過以下幾個系統(tǒng)號碼，通知商戶進(jìn)行安全周知和詢問是否授權(quán)平臺進(jìn)行安全掃描：(0755)36560292、(0755)61954612、(0755)61954613、(0755)61954614、(0755)61954615、(0755)61954616。   　　此外，微信方面還提示了“檢查及修復(fù)建議”：   　　1.如果您的后臺系統(tǒng)使用了官方SDK，請更新SDK到最新版本 SDK的鏈接:   　　https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1   　　2.如果您是有系統(tǒng)提供商，請聯(lián)系提供商進(jìn)行核查和升級修復(fù)；   　　3.如果您是自研系統(tǒng)，請聯(lián)系技術(shù)部門按以下指引核查和修復(fù)：   　　- 4 -   　　如商戶遭攻擊造成資金損失是否賠償？微信尚未明確回復(fù)   　　隨著消費(fèi)零售行業(yè)移動互聯(lián)網(wǎng)應(yīng)用的普及，越來越多的線下商戶開始向網(wǎng)上遷移，而實(shí)際上，使用了大平臺提供的接口和工具的這些商戶“互聯(lián)網(wǎng)+”水平非常有限，尤其是應(yīng)對網(wǎng)絡(luò)安全等技術(shù)能力。   　　由于需要商家自己來完成排查和更新的操作，也不少商戶還是提出了新的疑問：如果沒有接到通知的商戶，或者在接到通知更新期間被攻擊了，以及更新操作未成功等，致使安全漏洞問題依舊存在，微信是否會承擔(dān)相應(yīng)的責(zé)任？如果因?yàn)榘踩┒磫栴}造成資金損失的話，微信是否會給予商戶賠償？微信是否針對這一安全漏洞風(fēng)險制定了相應(yīng)的賠償機(jī)制？   　　對于商戶的這一疑問和顧慮，目前，微信方面尚未給出明確答復(fù)。   　　鑒于當(dāng)前“0元購”的安全漏洞和風(fēng)險依然暴露，在此提醒廣大商戶和老板們趕緊自查更新，微信平臺通知并協(xié)助商戶修復(fù)漏洞，以免商戶遭受攻擊而造成資金和財(cái)產(chǎn)損失。