新年炒大鑊！微信「利是」漏洞 : 20 分鐘 「掛機」激搶 230 蚊人仔

在新年時微信舉行了網上利是運動，用戶可以透過微信發送「電子利是」給朋友領取金錢。不過近日有用家發現自己的紅包無故被「拆開」，利是錢空空如也。

 

 

超低級錯誤

原來這是因為領取紅包存在漏洞，駭客可以繞過系統權限領取他人的利是，而且這是一個非常低級的錯誤，駭客「白帽黑客only-guest」表示，客戶端網址中後面有一個 sendid=xxxxx 的參數就那封「利是」的 ID ，只要修改這組數字可以打開其他人的利是收錢。

 

 

外掛自動「搶人錢」

有人更寫了外掛，狂用亂數 ID 試驗「攞錢」，不到 20 分鐘就多了 230 元人民幣。目前微信指他們已經確認這個漏洞，並跟業務部門商討解決方案。

新年期間應該是人人開心，聽小鳯姐高歌唱「喜氣洋洋」才對。微信活動這種漏洞讓收到紅包的用戶被清袋，有點「大吉利是」的味道..

 

 

來源 : 白帽黑客only-guest

分享到 :

最新影片