白帽子发现微信支付的重大漏洞，却先联系了 360,这太搞笑了

这位小哥可能以为 WeChat 是 360 的？

说的再漂亮，我也不会用微信支付。

漏洞？不是说后门么？

可能怕被抓到南山法院开庭

原文是 "backdoor"

http://seclists.org/fulldisclosure/2018/Jul/3

LZ 多半是明知故问吧。twitter 上 360NetLab 比较有名气。大战了很多 botnet 作者，有互动。

干得漂亮 哈哈

人家没有你想的那么狭隘而已。大公司出招都是讲究一招毙命

这有什么好笑的。。。

应该是微信那边真的很难联系到人吧？然后根据知名度去提交漏洞，感觉没什么不妥。

进一步说明了微信没有客服（滑稽

白帽子是什么?

我认识一个意大利的朋友他以为微信是阿里巴巴的

WeChat *unintentionally* provides a xxe vulnerability in the JAVA version SDK which handles this result.

陌陌和 vivo 的微信支付回调地址作者怎么拿到的

我的 QQ 一到下午就不能给别人发图片了，只能发到群里，给反馈了也没有什么反应。

但却不知道如何联系微信安全的人员

说的跟谁知道似的，这也笑人家 360 ？

新一轮 3Q 大战的导火线

这有什么可笑的

“国外一名白帽子”，人家不认识微信安全团队的人有什么问题？ Twitter 上 360 的安全团队在安全圈里比较知名，同为中国企业，人家找上有什么问题？一个国外的白帽子，知不知道腾讯和 360 的纠葛都还存疑。

人家可能也想不到一个知名安全公司中立性能这么差

可能微信和 360 同样绿

公司虽然有大战, 但是是商业层面的.
安全,技术这些都还是在良性竞争交流的.

@justfun @est @anyclue @maemual @jadec0der
我感觉楼主的意思是, 找不到微信安全团队的联系方式, 可以找腾讯安全团队啊, 怎么跑去找 360 了.
这个答案见 #22

应该说，腾讯的所有部门，你们谁能联系的到人？不管是客服还是技术支持，

证明了联系不上微信客服文员 滑稽.jpg

@maemual 全文用英文，中间有几个标点符合却是中文编码的。。。恐怕～～～

s/标点符合 /标点符号 /

中文符号...

实话实说，腾讯客服别说老外了，中国人也联系不上的

估计没人能 @腾讯的人，他们压根就不上网~~~

竞争都是产品层面的，员工之间互通有无

腾讯有客服吗？

腾讯有人工客服吗？能联系上吗？

说到白帽子.我就想到一个网站...可是这个网站...

腾讯根本就没有客服啊

如果你知道，当年盗了马化腾 QQ 黑客的下场，就知道为什么会这样了

腾讯家没见过 bot 以外的客服。

看了下 这个是第三方的锅呀就算用 sdk 秘钥安全都不检验？，还有就是回调地址怎么弄到的

@EIlenZe
不用担心，正在升级

@des #40 这个月就两年了 好快啊

360 安全团队名声在外，互动多，业内大公司之间安全团队也都有联系。
最后顺利转达，说明这操作很正确嘛~~

还别说 腾讯真的是没客服的

统一回复一下楼上各位。

1. 这人怎么看也是中国人，中式英文不说，标点符号还是全角的；
2. 账号刚注册，就发了腾讯的漏洞，并且强行 at 360 ；
3. 既然是中国人，又是安全圈内的，肯定是知道腾讯的漏洞有一个统一的平台来处理的（ TSRC ），然而这人并不提交到 TSRC ；
4. TSRC 的人员联系这个人，而这个人不是回复表情就是不回复，闪烁其词。

综上，大家觉得这个人的目的是什么？

胡说 哪里有什么白帽子 都是黑的 南山法院了解下

手动狗头...

@wujichao 漏洞原因是 Java 版本的 SDK 在对提交来的数据支持 JSON 及 XML 格式的数据。而 XML 的处理未做充分验证导致可以在 XML 中引入外部实体。简单来说是可以造成命令执行(RCE)。读取任意文件以及服务端请求伪造(SSRF)。这种漏洞在业内被称为 XML 扩展实体漏洞(XXE)。相关资料可以看看 OWASP 的介绍
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
所以拿到 CallbackURL 并不是什么难事

@RIcter 安全圈里。各种撕逼事情多的去了。乱的一匹啊。。。

@joyfun @wujichao 接上面，你的数据是发给商户服务器。然后商户服务器与微信那边通信的。
因为 SDK 中存在这个问题。最终的结果就是你向商户服务器发送了恶意的请求。攻击了商户的服务器。服务器上一切秘密的东西对攻击者来说都不秘密。至于伪造一个假订单。低价购买高价格东西也不是什么难事。所以这里面关于密钥以及 callbackurl 都是攻击者能够知道并控制的

感觉是搞事或者技术卖萌的..大概是作者对 tx 感觉不好吧..

@RIcter 又见阴谋论，你又肯定了？把微信支付商户全部打瘫不更好吗

腾讯非要用 XML 来传递消息，任何语言处理起来都超级麻烦。明明可以全线换用 Json 的

@Cavolo 怕跨国?

WeChat leave a backdoor on merchant websites

说明了 360 在国外的安全圈名声比较大

进一步说明了腾讯基本没啥国际影响力

同被腾讯的 XML 坑过，QQ 的 XML 漏洞，打开陌生链接后被异地登录

我们公司有问题想找腾讯的工作人员，几乎是联系不上的，有问题自己想办法解决

我很好奇留后门是不是违反行为，腾讯应不应该为留后门而受到惩罚？

Qihoo 360 ? I hope to be able to contact with WeChat Pay quickly.

同样。 之前开发微信商城遇到问题，找微信支付以及微信公众号的人工客服死活找不着。 反倒是微信朋友圈广告，首页大写加粗的 400 电话。

这个没什么好笑的，脑补太多情节了大兄弟

没办法，微信图标是绿的| ω)

对不起，我们微信没有客服

请先充值到心悦 3

@ghiei9101 哪里中文编码了？

@ctsed 他估计是腾讯的，当然这样说了。

@ctsed
@metas
你又肯定不是了，这比的英文和标点自己看看去。脑门子上面写的老子要搞事看不出来怕不是瞎。

@metas 问了下，还真是腾讯的，哈哈哈，怼不得怼不得，向大佬道歉。

@woyao

@woyao 回撤就发出去了，我去～～～
这条推文作者自己删了，哈哈哈，，，，为什么偏偏删了这条推文～～～

echo "Pay sdk （ deserialization RCE ) ！！！！！ (his wife is beautiful)"|xxd

00000000: 5061 7920 7364 6bef bc88 6465 7365 7269 Pay sdk...deseri
00000010: 616c 697a 6174 696f 6e20 2020 5243 4520 alization RCE
00000020: 2020 2920 efbc 81ef bc81 efbc 81ef bc81 ) ............
00000030: efbc 8120 2868 6973 2077 6966 6520 6973 ... (his wife is
00000040: 2062 6561 7574 6966 756c 290a beautiful).

正常
你基本找不到任何可以联系到腾讯的方式。。。不管任何服务

@ghiei9101 哈，难道你是 wepay 的？

不是说微信支付好牛逼的吗？