网易易盾

网易易盾官方号

286篇博客

7月第1周风控关注 微信支付SDK曝XXE漏洞 可伪造订单

网易易盾2018-07-06 22:08

易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。


1.微信支付SDK被曝XXE漏洞,可窃取商家密钥伪造订单



白帽子给出的漏洞描述,使用微信支付时,商家需要提供通知网址以接受异步支付结果。
问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。
一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),就可以通过发送伪造信息来欺骗商家购买任何东西而无需付费。

微信安全团队表示“已经在紧急跟进这个问题”。


2.23岁男子自建吃鸡外挂交易平台 5个月订单金额达2300万


喜欢玩“吃鸡”端游的玩家们,肯定经常被各种穿墙锁头无后座的外挂所困扰,而这些开挂的玩家是从哪里获取外挂程序的呢?7月3日,四川资阳市公安局雁江区分局通报称,在雁江区抓获一名搭建外挂交易网站的嫌疑人王某。王某通过搭建“发卡啦自动发卡平台”获取非法佣金。目前该平台有15000个注册商家,5个月完成了65万个订单,交易额达到2300万,他从每笔交易中抽取2%的手续费,共收取非法佣金46万。


3.Facebook用户数据泄露再升级 承认与61家公司共享用户数据


据外媒报道,Facebook日前在向美国国会议员提交的747页文件中承认,授予61家公司为期6个月的“一次性”访问用户数据权限,以换取它们配合Facebook对用户数据进行政策调整。包括美国在线(AOL)、耐克(Nike)、联邦包裹服务(UPS)和约会应用Hinge等。

除此以外,继剑桥分析事件后,facebook又被爆出数据泄露丑闻。由http://NameTests.com开发的问答APP
NameTests,同时还开发了诸多社交问答,比如“你是哪个迪士尼公主”,这款尤其在全球有12000万月活用户,他们会从facebook快速登陆。登陆后,应用可以从facebook获取用户的资料信息。

但安全研究员发现,由于错误的安全配置,这些用户信息可以被其他网站轻易获取。攻击者只需要利用浏览器的CORS策略就可以读取用户的资料信息。

联邦政府将持续对数据泄露问题进行调查,在调查结束后,Facebook可能面临数十亿美元的罚款。


4.入侵Gentoo GitHub 账号的攻击者在构建脚本里加入 rm -rf /* 命令


Linux发行版Gentoo在GitHub的镜像被黑客入侵并接管,攻击者随后对 Gentoo 的代码进行大肆修改,包括恶意在构建脚本 ebuild 里加入 rm -rf /* 命令。现在,Gentoo 项目公布了详细的事故调查报告:

攻击发生在6月28
日 20:19,攻击者使用管理员密码登录,随后创建了有管理访问权限的账号,着手踢出合法用户其中包含维护者——正是这一举动导致了入侵曝光并引起了
Gentoo 项目的注意,它的 GitHub 账号只是该组织的镜像,但移除用户会让用户收到通知,所以到 20:29 Gentoo
项目开始调查此事。 攻击者从 20:34 开始修改文件,20:50 在所有 ebuild 加入 rm -rf /* 命令,21:05
Gentoo 项目向 GitHub 支持递交报告,21:28 Gentoo GitHub
账号冻结。攻击者显然有点业余,整个入侵过程只持续了一个多小时。


5.新银行木马专门窃取证书、密码等敏感信息


思科网络安全团队Talos的研究人员最近发现了一种新的银行木马,这种新型木马病毒通过散布一些看似软件公司开出的账单请求、实则为恶意软件的网络钓鱼邮件,从而窃取受害者PC上的银行证书、密码和其他敏感信息。

该木马最初通过恶意Word附件进行攻击,该附件欺骗用户允许宏命令,允许在受攻击的系统上安装SmokeLoader,并允许木马发送其他恶意软件。

安全团队表示,及时安装补丁以及对第三方消息保持警惕能有效减少攻击威胁。


6.主流交易所场外OTC平台存高危漏洞


7月4日晚间,区块链安全公司PeckShield发出安全警告称:发现某主流数字货币交易所提供的场外OTC平台存在安全漏洞并命名为“tradeRifle”,攻击者可利用此漏洞介入数字货币交易流程,窃取平台用户的数字资产,给用户和交易所带来严重的安全威胁。

PeckShield研究人员已经确认了该漏洞的存在,并向相关的数字货币交易所发出高危预警,同时呼吁开展OTC业务的交易所尽快与PeckShield取得联系,协同修复此安全漏洞,采取必要的措施以避免可能造成的严重损失。


7.LTE标准存在安全问题,黑客可劫持用户流量数据


来自鲁尔大学波鸿分校和纽约大学阿布扎比分校的一个研究团队发现了LTE标准中的一些安全问题,它可以被APT攻击者利用来窥探用户的流量数据。LTE标准目前被全球数十亿人使用,与其他标准相比,其实它已经包含了许多安全改进。

据悉,研究人员将在2019年的IEEE大会期间分享该发现的全部细节。


8.Adidas数百万用户数据泄漏


运动服装制造商阿迪达斯宣布了一项数据泄露事件,该公司指出对使用其美国网站的购物者产生了影响。该公司表示,在6月26日星期二得知有一方声称已获得阿迪达斯客户的详细信息后,该公司发现了此次信息泄露行为。

“根据初步调查,泄露的信息仅限于联系信息,用户名和加密密码,”阿迪达斯发言人说到。“阿迪达斯没有相信这些消费者的信用卡或身体信息受到影响。”他补充说。但一些新闻媒体如哥伦比亚广播公司,华尔街日报和彭博社报道的内部消息称“数百万”的阿迪达斯客户可能会受到影响。


点击免费试用网易云易盾安全服务