手机支付功能越来越全面、便捷。我们在享受网上支付便利的同时，也必须警惕网络安全问题。 7月1日，名为Rose的黑客在国外安全社区宣布微信支付官方SDK存在严重漏洞。该漏洞可能导致商家服务器被入侵。一旦攻击者获得了商户的关键安全密钥，他就可以发送虚假信息来欺骗商户，而无需支付任何费用。

使用微信支付的时候，用过的人都知道，商家需要提供一个通知URL，也就是我们经常使用的二维码支付，来接受异步支付结果。问题是微信JAVA版SDK的实现存在XXE漏洞。攻击者可以在通知 URL 中制作恶意内容，并根据需要从商家的服务器窃取任何信息。也就是说，黑客可以利用微信支付中的这个漏洞，以0元的价格购买商家商品。

该漏洞公布后不久，腾讯公司向媒体回应称，“微信支付技术安全团队已立即关注并调查，并于中午在官网更新了SDK漏洞，修复了已知的安全问题。我们希望提醒商户及时更新，请您放心使用微信支付。”

举报人非常详细地披露了该漏洞的源代码和攻击方法。这种做法与普通网友或举报人有很大不同。首先，微信在国内的使用可能比国外要多得多。如果举报人在国内论坛曝光，效果肯定会大不一样。其次，经常接触互联网的人都知道，大多数公司都会奖励发现并提交安全漏洞的人。白帽安全研究所发现，虽然用户报告中的文章是英文的，但使用的逗号都是中文全角符号。这一发现表明举报人可能是中国人。举报人之所以没有直接联系微信，而是在国外论坛爆料，很可能是因为他利用了这个漏洞，但也留下了痕迹，吸引了更多的黑客通过爆料来掩盖自己。

幸运的是，目前大多数商户都没有使用SDK，只有少数使用SDK的商户受到影响。同时，微信官方团队已尽快通知使用SDK的商户，并于今天中午修复了该漏洞。 ，相关补丁将在稍后发布，但具体损坏细节尚未对外公布。普通用户无需担心，因为只有部分使用微信支付的商户受此漏洞影响。如果商户没有使用官方提供的Java版SDK，且服务器上没有密钥key，则不会受到太大影响。

移动支付给人们带来了便利，但也存在不少隐患。网络安全不可能无懈可击。只有用户在使用时更加关注安全问题，才能真正解决隐藏的安全威胁。随着智能手机技术的逐渐成熟和完善，移动支付将变得更加便捷、安全。