微信红包曝漏洞：用户可随意领取他人红包

 

Bianews报道 近日乌云漏洞平台曝微信红包出现系统漏洞，该漏洞可导致用户随意领取他人发出的红包。

 

据悉，乌云漏洞平台上的白帽子在测试微信红包漏洞时，通过一串编辑好的URL，随机修改其中对应的红包ID即可随意领取他人所发出的红包。

 

目前该漏洞已经得到了腾讯方面的确认，以下是厂商的回复：

 

 

图1：厂商回复

 

微信红包领取页面URL：

 

https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx6fa7e3bab7e15415&redirect_uri=https://wxapp.tenpay.com/v2/hybrid/www/weixin/hongbao/receive.shtml?showwxpaytitle=1&sendid=1000000000201501092047478999&channelid=1&msgtype=1&from=singlemessage&isappinstalled=0&us=***********&ver=1&sign=***********&clientversion=26000238&devicetype=android-19&pass_ticket=***********&timeguid=14207873040300.4459930493030697&response_type=code&scope=snsapi_base&state=STATE&connect_redirect=1#wechat_redirect

 

地址中的sendid为对应的红包ID，星号是测试者对于自己的身份信息进行了屏蔽，sendid前面10位是固定的，中间是日期，后面10位是红包ID。

 

小编通过该段URL进行了测试，在修改了多个ID后，发现该方法已无法使用。

 

 

图2：测试失败图

 

漏洞未进行修复前，测试者在测试当中遍历了40个ID，以下为成功案例截图：

 

 

 

 

 

此后测试者又进行批量测试红包是否存在。

 

 

而后测试者编写了一个自动红包领取的程序，

 

 

在发出888个包来遍历红包后，发现一共212个红包是存在可以领取的。

 

 

测试者微信钱包余额

 

在程序运行了几分钟后，测试者微信钱包余额。