这是一个创建于 2333 天前的主题,其中的信息可能已经有所发展或是发生改变。
随着微信支付逐渐向海外市场普及,越来越多的外国友人及店铺开始使用微信支付。不过却发生了一件有趣的事情,国外一名白帽子发现了微信支付的漏洞,但却不知道如何联系微信安全的人员,竟然在 Twitter 上 @360NetLab。在 360 安全人员转达漏洞之后,微信安全团队已经及时跟进处理这个问题。目测,下一波“微信致谢 360 ”不远了……
白帽子发现微信支付的重大漏洞,却先联系了 360,这是什么路数啊~ "360 的安全人员也在得知消息之后告知微信团队",这又是什么路数啊~,他们两家不是宿敌吗~ 太搞笑了!
 |
1
justfun 2018-07-03 12:31:36 +08:00 via Android
这位小哥可能以为 WeChat 是 360 的?😂
|
 |
2
metrxqin 2018-07-03 12:33:21 +08:00 via iPhone
说的再漂亮,我也不会用微信支付。
|
 |
3
ho121 2018-07-03 12:33:41 +08:00 via Android
漏洞?不是说后门么?
|
 |
4
Cavolo 2018-07-03 12:33:54 +08:00 via iPhone  22
可能怕被抓到南山法院开庭
|
 |
5
miyuki 2018-07-03 12:35:06 +08:00 2
|
 |
6
est 2018-07-03 12:35:09 +08:00
LZ 多半是明知故问吧。twitter 上 360NetLab 比较有名气。大战了很多 botnet 作者,有互动。
|
 |
7
IvanLi127 2018-07-03 13:14:41 +08:00 via Android
干得漂亮 哈哈
|
 |
8
huang5587783 2018-07-03 13:21:02 +08:00 via iPhone
人家没有你想的那么狭隘而已。大公司出招都是讲究一招毙命
|
 |
9
yingfengi 2018-07-03 13:22:05 +08:00 via Android
这有什么好笑的。。。
|
 |
10
Felldeadbird 2018-07-03 13:50:46 +08:00
应该是微信那边真的很难联系到人吧?然后根据知名度去提交漏洞,感觉没什么不妥。
|
 |
11
overflowHidden 2018-07-03 13:52:16 +08:00 26
进一步说明了微信没有客服(滑稽
|
 |
12
LanAiFaZuo 2018-07-03 13:54:15 +08:00
白帽子是什么?
|
 |
13
natforum 2018-07-03 13:55:30 +08:00
我认识一个意大利的朋友他以为微信是阿里巴巴的
|
 |
14
hx1997 2018-07-03 14:06:54 +08:00
WeChat *unintentionally* provides a xxe vulnerability in the JAVA version SDK which handles this result.
|
 |
15
CDuXZMAPgHp1q9ew 2018-07-03 14:16:21 +08:00
陌陌和 vivo 的微信支付回调地址作者怎么拿到的
|
 |
16
Flobit 2018-07-03 14:18:15 +08:00 via Android
我的 QQ 一到下午就不能给别人发图片了,只能发到群里,给反馈了也没有什么反应。
|
 |
17
anyclue 2018-07-03 14:40:00 +08:00
但却不知道如何联系微信安全的人员
说的跟谁知道似的,这也笑人家 360 ? |
 |
18
dalieba 2018-07-03 14:45:52 +08:00 via Android
新一轮 3Q 大战的导火线
|
 |
19
maemual 2018-07-03 15:35:36 +08:00 1
这有什么可笑的
“国外一名白帽子”,人家不认识微信安全团队的人有什么问题? Twitter 上 360 的安全团队在安全圈里比较知名,同为中国企业,人家找上有什么问题?一个国外的白帽子,知不知道腾讯和 360 的纠葛都还存疑。 |
 |
20
jadec0der 2018-07-03 16:21:33 +08:00
人家可能也想不到一个知名安全公司中立性能这么差
|
 |
21
tianzry 2018-07-03 16:25:39 +08:00 via Android
可能微信和 360 同样绿😃
|
 |
22
oIMOo 2018-07-03 16:28:32 +08:00
公司虽然有大战, 但是是商业层面的.
安全,技术这些都还是在良性竞争交流的. |
|
23
oIMOo 2018-07-03 16:31:11 +08:00
|
 |
24
dodo2012 2018-07-03 16:42:10 +08:00 3
应该说,腾讯的所有部门,你们谁能联系的到人?不管是客服还是技术支持,
|
 |
25
NicholasYX 2018-07-03 16:53:45 +08:00
证明了联系不上微信客服文员 滑稽.jpg
|
 |
27
ghiei9101 2018-07-03 17:01:00 +08:00
s/标点符合 /标点符号 /
|
 |
28
skadi 2018-07-03 17:02:55 +08:00
中文符号...
|
 |
29
stzz 2018-07-03 17:19:54 +08:00
...这话说的,在国内你就能联系到微信的安全团队了?
|
 |
30
Mac 2018-07-03 17:22:15 +08:00 via Android 7
实话实说,腾讯客服别说老外了,中国人也联系不上的
|
 |
31
keventseng 2018-07-03 17:48:11 +08:00
估计没人能 @腾讯的人,他们压根就不上网~~~
|
 |
32
ctsed 2018-07-03 18:50:14 +08:00 via Android
竞争都是产品层面的,员工之间互通有无
|
 |
33
to2false 2018-07-03 18:53:58 +08:00 via Android
腾讯有客服吗?
|
 |
34
nodin 2018-07-03 19:12:12 +08:00 via Android
腾讯有人工客服吗?能联系上吗?
|
 |
35
EIlenZe 2018-07-03 19:12:57 +08:00 via Android
说到白帽子.我就想到一个网站...可是这个网站...
|
 |
36
loveCoding 2018-07-03 22:06:56 +08:00
腾讯根本就没有客服啊
|
 |
37
iiduce 2018-07-03 22:15:20 +08:00
如果你知道,当年盗了马化腾 QQ 黑客的下场,就知道为什么会这样了 😝
|
 |
38
mozutaba 2018-07-03 22:21:04 +08:00
腾讯家没见过 bot 以外的客服。
|
 |
39
joyfun 2018-07-03 22:24:04 +08:00 via Android
看了下 这个是第三方的锅呀就算用 sdk 秘钥安全都不检验?,还有就是回调地址怎么弄到的
|
 |
42
icyalala 2018-07-03 23:03:22 +08:00
360 安全团队名声在外,互动多,业内大公司之间安全团队也都有联系。
最后顺利转达,说明这操作很正确嘛~~ |
 |
43
YLGG 2018-07-03 23:03:49 +08:00
还别说 腾讯真的是没客服的
|
 |
44
RIcter 2018-07-04 01:39:03 +08:00
统一回复一下楼上各位。
1. 这人怎么看也是中国人,中式英文不说,标点符号还是全角的; 2. 账号刚注册,就发了腾讯的漏洞,并且强行 at 360 ; 3. 既然是中国人,又是安全圈内的,肯定是知道腾讯的漏洞有一个统一的平台来处理的( TSRC ),然而这人并不提交到 TSRC ; 4. TSRC 的人员联系这个人,而这个人不是回复表情就是不回复,闪烁其词。 综上,大家觉得这个人的目的是什么? |
 |
45
mrjoel 2018-07-04 02:29:57 +08:00
胡说 哪里有什么白帽子 都是黑的 南山法院了解下
手动狗头... |
 |
46
yw9381 2018-07-04 04:26:48 +08:00 via Android
@wujichao 漏洞原因是 Java 版本的 SDK 在对提交来的数据支持 JSON 及 XML 格式的数据。而 XML 的处理未做充分验证导致可以在 XML 中引入外部实体。简单来说是可以造成命令执行(RCE)。读取任意文件以及服务端请求伪造(SSRF)。这种漏洞在业内被称为 XML 扩展实体漏洞(XXE)。相关资料可以看看 OWASP 的介绍
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing 所以拿到 CallbackURL 并不是什么难事 |
|
48
yw9381 2018-07-04 04:34:52 +08:00 via Android
|
 |
49
lc4t 2018-07-04 06:28:00 +08:00 via iPhone
感觉是搞事或者技术卖萌的..大概是作者对 tx 感觉不好吧..
|
 |
51
Radeon 2018-07-04 08:09:04 +08:00
腾讯非要用 XML 来传递消息,任何语言处理起来都超级麻烦。明明可以全线换用 Json 的
|
 |
53
sevenzhou1218 2018-07-04 08:44:43 +08:00 1
WeChat leave a backdoor on merchant websites
|
 |
54
guoyuchuan 2018-07-04 09:05:18 +08:00
说明了 360 在国外的安全圈名声比较大
|
 |
55
mushan099 2018-07-04 09:15:58 +08:00 1
进一步说明了腾讯基本没啥国际影响力
|
 |
56
chaim 2018-07-04 09:16:00 +08:00
同被腾讯的 XML 坑过,QQ 的 XML 漏洞,打开陌生链接后被异地登录
我们公司有问题想找腾讯的工作人员,几乎是联系不上的,有问题自己想办法解决 |
 |
57
misaka19000 2018-07-04 09:19:06 +08:00 1
我很好奇留后门是不是违反行为,腾讯应不应该为留后门而受到惩罚?
|
 |
58
Kongzong 2018-07-04 09:34:25 +08:00 via iPhone
Qihoo 360 ? I hope to be able to contact with WeChat Pay quickly.
|
 |
59
goodbyennn 2018-07-04 09:43:31 +08:00
同样。 之前开发微信商城遇到问题,找微信支付以及微信公众号的人工客服死活找不着。 反倒是微信朋友圈广告,首页大写加粗的 400 电话。
|
 |
60
CtrlSpace 2018-07-04 09:48:37 +08:00
这个没什么好笑的,脑补太多情节了大兄弟
|
 |
61
zzsx1937 2018-07-04 09:50:49 +08:00 via Android
没办法,微信图标是绿的| ू•ૅω•́)ᵎᵎᵎ
|
 |
62
Marmot 2018-07-04 10:00:04 +08:00
对不起,我们微信没有客服
|
 |
63
ljh0585 2018-07-04 10:07:59 +08:00
请先充值到心悦 3
|
|
66
RIcter 2018-07-04 13:01:19 +08:00 via Android
|
|
69
ghiei9101 2018-07-04 13:55:40 +08:00
@woyao 回撤就发出去了,我去~~~
这条推文作者自己删了,哈哈哈,,,,为什么偏偏删了这条推文~~~ echo "Pay sdk ( deserialization RCE ) !!!!! (his wife is beautiful)"|xxd 00000000: 5061 7920 7364 6bef bc88 6465 7365 7269 Pay sdk...deseri 00000010: 616c 697a 6174 696f 6e20 2020 5243 4520 alization RCE 00000020: 2020 2920 efbc 81ef bc81 efbc 81ef bc81 ) ............ 00000030: efbc 8120 2868 6973 2077 6966 6520 6973 ... (his wife is 00000040: 2062 6561 7574 6966 756c 290a beautiful). |
 |
70
ladypxy 2018-07-04 14:27:40 +08:00
正常
你基本找不到任何可以联系到腾讯的方式。。。不管任何服务 |
 |
72
lingaoyi 2018-07-06 21:11:23 +08:00
不是说微信支付好牛逼的吗?
|
Select Language