在新年時微信舉行了網上利是運動,用戶可以透過微信發送「電子利是」給朋友領取金錢。不過近日有用家發現自己的紅包無故被「拆開」,利是錢空空如也。
原來這是因為領取紅包存在漏洞,駭客可以繞過系統權限領取他人的利是,而且這是一個非常低級的錯誤,駭客「白帽黑客only-guest」表示,客戶端網址中後面有一個 sendid=xxxxx 的參數就那封「利是」的 ID ,只要修改這組數字可以打開其他人的利是收錢。
有人更寫了外掛,狂用亂數 ID 試驗「攞錢」,不到 20 分鐘就多了 230 元人民幣。目前微信指他們已經確認這個漏洞,並跟業務部門商討解決方案。
新年期間應該是人人開心,聽小鳯姐高歌唱「喜氣洋洋」才對。微信活動這種漏洞讓收到紅包的用戶被清袋,有點「大吉利是」的味道..
來源 : 白帽黑客only-guest
