7 月 3 日，一位疑似外国安全人员在 Twitter 上公开了微信支付的 SDK 存在重大漏洞（XXE 漏洞）。通过该漏洞，攻击者可以为所欲为，窃取商家服务器的任何信息。甚至可以通过发送伪造信息来欺骗商家而无需付费购买任何东西，也就是所谓的「0 元购」。

漏洞消息曝出后，微信支付官方对外表示漏洞已修复，商家不必过度恐慌。之后又进一步回复称，「该漏洞为常见漏洞，此次问题服务器实际影响范围不大，完全可控。」然而，事实可能并不像微信官方说的那样云淡风轻。如今漏洞被曝已过去十天，我们采访了盘古实验室的技术专家，通过测试后发现，大量商户依然暴露在漏洞下，很多对此甚至毫无感知，并非如官方所称的「完全可控」。这是怎么一回事呢？

亲测：影响并未可控大量商户仍暴露在漏洞下

在代码托管平台 Github、码云、和盘古的移动安全威胁数据平台 Janus 上，盘古实验室搜寻漏洞函数以及 notify 关键字等，很容易就能找到存在漏洞的商家。如代码中出现 notify_url=http://xxx，出现这个以后不用看代码逻辑，可进行黑盒批量测试进行捡漏；发现 notify 接口函数调用了微信 sdk 存在漏洞版本的 WXPayUtil.xmlToMap 函数，或者商户自己实现 xml 解析函数但未禁用外部实体。这样的商户就是依然存在漏洞的。

【Janus平台：是盘古团队一个汇聚海量移动应用的平台，通过对应用进行分析，来发现不同应用之间的特征和关联关系，也称作移动应用威胁情报平台。】

Janus 的安全研究员们略加搜索后，发现如下商家漏洞仍存在：

在以上商家中，包含多个移动应用定制开发平台，也就是说，使用这个平台开发的点餐、缴费系统的用户，都暴露在巨大的风险之中。盘古的 Janus 平台上的数据显示，同一商家可能开发多款应用，因此受影响的应用数量远远高于商户的数量。所以无论是商家还是开发者，都将承受巨大的风险考验。

由于微信支付接入的商家数量达到上百万，使用微信支付老版本的商户不在少数。虽然微信官方更新了系统，可是由于商户平台并非需要每天登陆的，很多商户并不知晓有此更新，甚至有些集成商户由于集成商没有任何通知，导致他们至今不知道该如何是好。所以目前在商家端，微信「0 元购」这个漏洞风险依然十分巨大，有被不法分子搬空的风险。不知道自己是否安全的商户，可以按这个办法搜索监测一下。

警示：「互联网+」时代小商户应提高安全能力

随着「互联网+」时代的到来，越来越多的线下商户开始向网上迁移。实际上，使用了大平台提供的接口和工具的这些商户「互联网+」水平非常有限，尤其是应对网络安全的能力。这就要求大平台在面对漏洞等网络安全事故时，切实地对生态体系内的小商户负责其责任来，不是简单的自己一修了之。

鉴于目前「0 元购」的漏洞依然普遍存在，在这里呼吁：一是广大商户赶紧自查，二是微信应切实地负起责任来，通知并帮助相关商户修复漏洞。