Sobre Silk Road

A Rota Da Seda, conhecida Como Estrada Da Da Seda para abreviar, geralmente refere-se à Rota Da Seda Terrestre, que está amplamente dividida Na Rota Da Seda Terrestre e Na Estrada Da Seda Marítima.

Categorias

Micro-canal vulnerabilidades de segurança de pagamento exposta de 20 dias, um milhão de mercador "estrias" não paga "0 yuan compra"

Micro carta foi atribuída a existir sérias vulnerabilidades de segurança.

Micro-channel vulnerabilidade dicas de negócios de investigação, "Não entre em pânico" e orientações de segurança emitidos e verificar o reparo é recomendado.

Wen | Zhang Shan

chefe Retail característica exclusiva de controle interno Todos os direitos reservados.

Recentemente, a notícia sobre as vulnerabilidades de segurança de pagamento micro-canal, fazendo com que os comerciantes para discutir sua preocupação, mesmo entre em pânico.

3 de julho de usuários na comunidade de segurança anunciou um pagamento micro-canal (kit de desenvolvimento de software) vulnerabilidade SDK oficial existente, a vulnerabilidade pode levar ao servidor comerciante está comprometida, uma vez que um atacante para obter negócios chave de segurança crítica, o atacante pode roubar qualquer informação que o servidor comerciante para enganar o comerciante através do envio de informações falsas, as empresas não precisam pagar nada para obter branco, chamado "0 yuan compra."

Após a notícia vazou vulnerabilidades, 5 de julho, oficial pagamento micro-canal anunciou que a vulnerabilidade tenha sido reparado, o comerciante não precisa entrar em pânico.

Até agora, a falha de segurança foi exposta durante 20 dias, após o técnico de segurança para fazer a demo teste descobriram que um grande número de empresas ainda estão vulnerabilidades expostas. Uma vez que esta vulnerabilidade envolve questões técnicas de segurança muito profissional, as empresas não sabemos especificamente como operar, atualização corrige vulnerabilidades em tempo hábil, para evitar riscos, criando assim as dúvidas, até mesmo pânico.

vulnerabilidades de segurança de pagamento Micro-canal causou pânico no grupo comerciante.

Para dúvidas e preocupações do comerciante, micro-canal lateral ontem Responder "referência interna chefe de varejo" APP (micro carta ID: lslb168), disse que "a vulnerabilidade é uma falha comum, pouco impacto prático do problema do servidor, totalmente controlável" micro-canal para vulnerabilidades o problema foi lançado "em questões de segurança XML analisar orientação existente" e fornecer um "recomendações de verificação e reparação".

No entanto, em algumas comunidades online e comunidade discussão da matéria, de acordo com o pessoal Diretrizes de Segurança, o autor do código de hospedagem pesquisa plataforma encontrados lacunas ainda existem vulnerabilidades e controle de um grande número de empresas, muitas empresas não foram corrigidos.

- 1 -

As vulnerabilidades de segurança: atacadas não receber o pagamento branco, e até mesmo consumidor comerciante vazamento de informações

Estas vulnerabilidades de segurança, exatamente como é isso tudo?

especialistas em tecnologia de segurança, Elefante ciência e tecnologia co-fundador de gratidão para explicar, a partir da informação de vulnerabilidade atual é publicamente ponto de vista, o atacante rede poderia explorar o pagamento micro-channel SDK oficial (kit de desenvolvimento de software) vulnerabilidade existente, eles se disfarçam como "pay micro-channel plataforma "em seguida, forjada para obter uma comunicação directa com o comerciante pela vulnerabilidade do micro-canal, as informações de comunicação no micro-canal normal de adulteração atinge" porta objeto".

Gratidão relatos, o processo normal de pagamento deve ser iniciado pelo usuário através de uma plataforma de pagamento micro-canal para atingir o negócio, o negócio vai ser um resultado do processo de confirmação de pagamento com a plataforma de pagamento micro-canal, e os atacantes de rede com precisão usando o buraco de correlação "enganar" sobre um negócio . Um nível de segurança mais baixo algumas empresas, o atacante obter a chave para o negócio, e através dessa brecha pode ser alcançado "0 yuan compra" e outras operações, casos graves podem também resultar em dados consumidores de conteúdo informações sobre o seu negócio, tais como vazamento.

Pagamento de vulnerabilidades de segurança "0 yuan compra" e outras operações, casos graves podem também resultar em dados consumidores de conteúdo informações sobre o seu negócio, tais como vazamento.

Para vulnerabilidades de segurança, aspectos micro-canais responder "patrão varejo referência interna" APP (micro carta ID: lslb168) disse que esta vulnerabilidade é essencialmente existem XML externo a própria vulnerabilidade de injeção entidade sistema de servidor back-end do comerciante (referido XXE), a equipe de pagamento de segurança de tecnologia de micro-primeiro canal e um tempo para se concentrar na investigação e foi afetada no site oficial das vulnerabilidades do lado do servidor SDK atualização corrige as vulnerabilidades de segurança conhecidas, e lembrou os comerciantes que data.

lado micro-channel disse: "A vulnerabilidade é uma falha comum, em pouco tempo, como os dados XML recebidos análise programa, chamar a função para fechar a linguagem XML das características acima relacionadas à prevenção e resolução efetiva. começou agora as empresas Dicas de Segurança, sugerindo que as empresas tomem a iniciativa investigação e seu sistema de auto-construção é a existência da vulnerabilidade, correção e dar diretrizes foram para ajudar ".

- 2 -

As vulnerabilidades de segurança foram corrigidos? Medidos sob um monte de empresas ainda estão expostos lacunas em

Micro carta expressa vulnerabilidades de segurança correção conhecida, as empresas não precisa entrar em pânico.

No entanto, em algumas comunidades on-line e da comunidade, para a discussão de esta vulnerabilidade e dúvidas ainda se espalhando. De acordo com as instruções do autor profissionais de segurança discutido comunidades online e participação da comunidade no código de plataforma de hospedagem Github, a nuvem de código, funções de busca, e notificar as palavras-chave de vulnerabilidade, etc., é fácil encontrar empresas vulneráveis.

vulnerabilidades de segurança de pagamento Micro-canal ainda existem.

pessoal de tecnologia de segurança, como aparece código em "notify_url = http: // xxx", o surgimento de isso não tem que olhar para a lógica do código, pode ser lote caixa preta testa Jianlou; descobrir notificar função de interface chama WXPayUtil versão falho de micro-carta SDK. função xmlToMap ou empresas para alcançar a sua própria função xml parsing sem desativar entidades externas, tais empresas ainda são lacunas. Ao pesquisar e comparar, encontramos um grande número de empresas ainda existem lacunas.

- 3 -

Como evitar os riscos do negócio? Micro carta divulgada emitir orientações de segurança e recomendações Repair

Como o número de negócio de acesso pay micro-canal para atingir milhões, o uso da versão micro-channel das antigas empresas pagam um pouco natural. Enquanto a atualização oficial micro-canal do sistema, no entanto, "referência interna chefe de varejo" pedir alguns varejistas aprenderam que a plataforma comerciante não precisa fazer logon a cada dia, ainda existem muitas empresas não sabem têm essa atualização, e até mesmo alguns negócios devido aos integradores de integração não aviso, levando-os ainda não sei o que fazer.

Essas tecnologias de segurança para micro e pequenas empresas em termos de questões, geralmente têm um certo grau de dificuldade, eles não sabem como contornar as vulnerabilidades e riscos específicos. Esta é também a razão para as empresas existentes de pânico.

A este respeito, os micro aspectos da carta ao "patrão varejo referência interna", disse a carta já começou micro dicas de segurança empresarial, sugerindo que as empresas tomar a iniciativa de resolver o seu sistema de auto-construção é a existência das orientações de vulnerabilidade e reparação tenha sido prestada assistência, "estamos acelerando o atendimento ao cliente e comerciante a comunicação é principalmente guiado lacunas a evitar. "

Além disso, o pagamento micro-canal irá ajudar as empresas a encontrar e eliminar questões de segurança e melhorar conjuntamente a segurança global de pagamentos móveis, e emitiu "sobre questões de segurança XML analisar orientações existentes" (você pode clicar no micro-canal pago plataforma comerciante Ver:

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

"Diretrizes de Segurança", enfatizou para o comerciante, "notificação de retorno de chamada, se você usar serviços de pagamento, os seguintes cenários têm usando análise XML, certifique-se de verificar se um guarda."

Que inclui os seguintes cinco cenários principais:

Cenário 1: a observação de pagamento bem-sucedido;

Cenário 2: A notificação de reembolso sucesso;

Cenário 3: contrato de comissão de retenção na fonte, rescisão, notificação de débito;

Cenário 4: aviso de rescisão proprietários;

Cenário 5: um código de verificação modo de pagamento de retorno de chamada;

(Nota: o cliente paga APP SDK não é afetado, mas o interior notificação sucesso callback APP pagamento para verificar.)

Também, porque pay micro-canal para o número de usuários negócios de grande escala, micro-empresas e pequenas saliências varejo refletir, não sei a operação específica para obter informações sobre quais canais. Como informar as empresas, como garantir que as empresas podem de fato receber a informação de notificação de atualização?

aspectos micro-canais de resposta, disse pagamento micro-channel será através do número de sistema seguinte, informar os comerciantes de segurança conhecida e pedindo varredura de segurança plataforma de autorização: (0755) 36560292, (0755) 61954612, (0755) 61954613, (0755) 61954614, ( 0755) 61954615, (0755) 61954616.

Além disso, os micro aspectos da carta também sugere as "sugestões de inspeção e reparação":

1. Se os seus sistemas back-end usando o SDK oficial, SDK atualização para a versão mais recente da ligação SDK:

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1

2. Se você tem um fornecedor de sistema, entre em contato com o fornecedor para verificação e correção de atualização;

3. Se você é sistema de auto-desenvolvimento, entre em contato com o departamento técnico para verificar e reparar as seguintes diretrizes:

--4--

Como comerciantes estavam causando perdas financeiras se a compensação para o ataque? Micro carta não foi uma resposta clara

Com a popularidade das aplicações de Internet móvel do consumidor da indústria de varejo, mais e mais empresas sob a linha começou a migrar para a Internet, na verdade, usar essas interfaces e ferramentas de negócios grande plataforma fornece nível "Internet +" é muito limitado, especialmente em resposta a recursos de tecnologia de segurança de rede.

Seus próprios negócios por causa da necessidade de concluir as operações de investigação e de atualização, mas também muitas empresas ainda levantadas novas questões: Se o comerciante não recebeu aviso de, ou ser atacado durante a atualização notificado, e a operação de atualização não foi bem sucedida e assim por diante, resultando em vulnerabilidades de segurança ainda existem, se micro-canal que suportará a responsabilidade? Se as perdas financeiras resultantes devido a vulnerabilidades de segurança, que dará o comerciante se a compensação micro-canal? Micro-carta se para desenvolver o mecanismo de compensação apropriada para o risco de vulnerabilidade de segurança?

Para dúvidas e preocupações que o negócio, no momento, micro carta ainda não tinha dar uma resposta clara.

Dadas as atuais "0 yuan comprar" vulnerabilidades de segurança e riscos permanecem expostos, para lembrar a maioria dos donos de empresas e auto-exame e atualização rapidamente, plataforma de micro-canal para informar e ajudar as empresas a corrigir a vulnerabilidade, de modo a não atacar o capital mercantil e danos materiais causados.

! preciosa Beijing Festival da Primavera de 50 anos para fotos 90 anos, finalmente encontrou um todo!
Anterior
Vivo neste B & B em, medo de não lidar com uma namorada?
Próximo

Como espécie de milho mulched? tecnologia de filme Heyang explicar cultivares de milho

May 8, 2018

estudantes do sexo feminino chineses nas Filipinas fez isso, e imediatamente preso! Não faça essas coisas no exterior

February 13, 2019

Maio como cultivo e manejo de arroz?

May 7, 2018

Ma como transformar um de um milhão elegante restaurante para os clientes a "comer arroz"?

July 20, 2018

Ano Novo Chinês "e dê um duplo queijo Li" está chegando! Um conjunto completo de "educação para a segurança antes do Festival da Primavera", para dar o seu

January 24, 2019

Dia dos Namorados está se aproximando, com um bife grelhado-lhe estas design interessante do hotel, os menores ou ... não olhe

February 13, 2019

11:0010 pontos! Nanchang Changbei incidente aeroporto, a resposta oficial ......

January 24, 2019

Yan controle exclusivo de 12 café, cada minuto estourar mente provocação da menina!

February 13, 2019

Musk realmente sido "mineração" mau jogo: contas Tesla nuvem foram invadidas, e até mesmo Tesla reforma carros

February 21, 2018

Suning loja: Como quebrar as finais de 100 metros de fresco?

July 19, 2018

Esta é uma foto exclusiva da rota neve Cidade Proibida, amanhã há neve, você não deve perder!

February 13, 2019

Vídeo chat âncora feminina é subitamente morto! Os investigadores da polícia de verdade assassinato redução

January 24, 2019