隨著科技越來越發達現在的人們已經慢慢的脫離的現金支付了，要嘛出門帶卡，要嘛出門帶手機現金支付已經漸漸的離開了市場而小編也是一樣現在出門也已經幾乎不帶現金了只帶一部手機。近日一位外國友人發現了微信支付的一個漏洞竟然可以免費購物，于是想要告知微信團隊不過卻無從下手只能在網上轉告360工作人員，然后360工作人員轉告微信團隊讓我們一起去看一下是怎么回事吧。

今日，據微信訂閱號@FreeBuf報道，隨著微信支付逐漸向海外市場普及，越來越多的外國友人及店鋪開始使用微信支付。不過卻發生了一件有趣的事情，國外一名白帽子發現了微信支付的漏洞，但卻不知道如何聯系微信安全的人員，竟然在Twitter上@360NetLab。在360安全人員轉達漏洞之后，微信安全團隊已經及時跟進處理這個問題。目測，下一波“微信致謝360”不遠了……

根據白帽子給出的漏洞描述，使用微信支付時，商家需要提供通知網址以接受異步支付結果。 問題是微信在JAVA版本SDK中的實現存在一個xxe漏洞。 攻擊者可以向通知URL構建惡意payload，根據需要竊取商家服務器的任何信息。 一旦攻擊者獲得商家的關鍵安全密鑰（md5-key和merchant-Id等），就可以通過發送偽造信息來欺騙商家購買任何東西而無需付費。