03.06 微信支付和支付宝支付哪个更安全？

半啦月牙

近日，关于微信支付存在安全漏洞的消息，引发商户们的关注讨论，甚至恐慌。

7月3日，有用户在安全社区公布了微信支付官方SDK(软件工具开发包)存在的漏洞，此漏洞可导致商家服务器被入侵，一旦攻击者获得商家的关键安全密钥，攻击者可以窃取商家服务器的任何信息，通过发送伪造信息来欺骗商家，无需给商家付款即可白拿任何东西，也就是所谓的“0元购”。

漏洞消息曝出后，7月5日，微信支付官方对外表示漏洞已修复，商家不必过度恐慌。

至今，该安全漏洞被曝光已20天，有安全技术人员做了测试演示后发现，大量商户依然暴露在漏洞下。由于该漏洞涉及安全技术问题非常专业，商户不知道具体如何操作，及时更新修复漏洞、规避风险，因此产生疑虑，甚至恐慌。

对于商户的疑虑和关切，微信方面昨日回复《零售老板内参》APP（微信ID：lslb168），称“该漏洞为常见漏洞，此次问题服务器实际影响范围不大，完全可控”，微信针对漏洞问题已经发布了《关于XML解析存在的安全问题指引》，并提供了《检查及修复建议》。

然而，在一些讨论此事的网络社区和社群中，根据安全技术人员的提示，笔者从代码托管平台上搜索发现大量商户漏洞依然存在，不少商户的漏洞并未得到修复和控制。

- 1 -

安全漏洞：遭攻击可不付款白拿，甚至泄漏商户的消费者信息

上述安全漏洞问题，究竟是怎么一回事呢？

安全技术专家、斗象科技联合创始人谢忱解释，从当前被公开的漏洞信息来看，网络攻击者可利用了微信支付官方SDK（软件工具开发包）存在的漏洞，将自己伪装成“微信支付平台”，继而通过微信的漏洞实现伪造与商户的直接通信，在篡改微信的正常通信信息后达到“偷梁换柱”的目的。

谢忱介绍，正常的支付流程应该是由用户发起，经由微信支付平台到达商家，商家会有一个与微信支付平台确认支付结果的过程，而网络攻击者恰恰是利用了相关漏洞“骗”过了商户。一些商家的安全防护水平较低，攻击者获取该商户的密钥，再通过这个漏洞就可以实现“0元购”等操作，严重者还可能会导致商户的消费者信息等数据内容泄漏。

对于安全漏洞问题，微信方面回复《零售老板内参》APP（微信ID：lslb168）说，本次漏洞本质为商户自身服务器后台系统中存在XML外部实体注入漏洞(简称XXE)，微信支付技术安全团队第一时间关注及排查，并已对官方网站上受影响的服务器端SDK漏洞进行更新，修复了已知的安全漏洞，并已提醒商户及时更新。

微信方面表示，“该漏洞为常见漏洞，只要在程序接收到XML数据进行解析之前，调用相关的函数关闭XML语言的上述特性即可有效防范和解决。目前已经启动商户的安全提示，提示商户主动排查其自建系统是否存在该漏洞，并给出修复指引，进行协助。”

- 2 -

微信表示修复了已知的安全漏洞，商家不必过度恐慌。

然而，在一些网络社区和社群中，针对此漏洞的讨论和疑虑仍在蔓延。笔者根据网络社区和社群中参与讨论的安全技术人员的提示，在代码托管平台Github、码云上，搜寻漏洞函数以及notify关键字等，很容易就能找到存在漏洞的商家。

安全技术人员介绍，如代码中出现“notify_url=http://xxx”，出现这个以后不用看代码逻辑，可进行黑盒批量测试进行捡漏；发现notify接口函数调用了微信sdk存在漏洞版本的WXPayUtil.xmlToMap函数，或者商户自己实现xml解析函数但未禁用外部实体，这样的商户依然存在漏洞。经搜索和对比，发现了大量的商家漏洞仍然存在。

- 3 -

商户如何规避风险？微信发布安全问题指引及修复建议

由于微信支付接入的商家数量达到上百万，使用微信支付老版本的商户自然不在少数。虽然微信官方更新了系统，不过，《零售老板内参》询问一些零售商户了解到，由于商户平台并非需要每天登录，目前还有不少商户并不知晓有此更新，甚至有些集成商户由于集成商没有通知，导致他们至今不知道该如何是好。

这些安全技术问题对小微商户来讲，普遍有一定难度，他们不清楚具体该如何操作才能规避漏洞和风险。这也是目前商户存在恐慌情绪的原因。

对此，微信方面向《零售老板内参》表示，微信目前已经启动商户的安全提示，提示商户主动排查其自建系统是否存在该漏洞，并给出修复指引进行协助，“正在加快客服与商户的沟通，主要是引导规避漏洞”。

此外，微信支付会协助商户发现和排除安全问题，共同提升移动支付整体安全性，并已发布了《关于XML解析存在的安全问题指引》（可以点击进入微信支付商户平台查看：

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

《安全问题指引》向商户强调，“如果你在使用支付业务回调通知中，存在以下场景有使用XML解析的情况，请务必检查是否对进行了防范。”

其中，包括以下5大主要场景：

场景1：支付成功通知；

场景2：退款成功通知；

场景3：委托代扣签约、解约、扣款通知；

场景4：车主解约通知；

场景5：扫码支付模式一回调；

（注：APP支付的用户端SDK不受影响，但APP支付成功回调通知里面要检查。）

同时，由于微信支付商家用户数量规模庞大，一些小微商户和零售老板们反映，不知道在哪些渠道获取具体操作信息。如何告知商户，如何确保商户都能确实收到更新通知信息？

微信方面回复称，微信支付会通过以下几个系统号码，通知商户进行安全周知和询问是否授权平台进行安全扫描：(0755)36560292、(0755)61954612、(0755)61954613、(0755)61954614、(0755)61954615、(0755)61954616。

此外，微信方面还提示了“检查及修复建议”：

1.如果您的后台系统使用了官方SDK，请更新SDK到最新版本 SDK的链接:

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1

2.如果您是有系统提供商，请联系提供商进行核查和升级修复；

3.如果您是自研系统，请联系技术部门按以下指引核查和修复：

- 4 -

如商户遭攻击造成资金损失是否赔偿？微信尚未明确回复

随着消费零售行业移动互联网应用的普及，越来越多的线下商户开始向网上迁移，而实际上，使用了大平台提供的接口和工具的这些商户“互联网+”水平非常有限，尤其是应对网络安全等技术能力。

由于需要商家自己来完成排查和更新的操作，也不少商户还是提出了新的疑问：如果没有接到通知的商户，或者在接到通知更新期间被攻击了，以及更新操作未成功等，致使安全漏洞问题依旧存在，微信是否会承担相应的责任？如果因为安全漏洞问题造成资金损失的话，微信是否会给予商户赔偿？微信是否针对这一安全漏洞风险制定了相应的赔偿机制？

对于商户的这一疑问和顾虑，目前，微信方面尚未给出明确答复。

鉴于当前“0元购”的安全漏洞和风险依然暴露，在此提醒广大商户和老板们赶紧自查更新，微信平台通知并协助商户修复漏洞，以免商户遭受攻击而造成资金和财产损失。

零售老板内参

微信和支付宝作为中国目前移动支付市场的两大领头羊，二者占据了我国第三方移动支付市场高达95%。可以说是极大的方便了老百姓的衣食出行。带来了实实在在的便利。

随着支付市场蛋糕的越来越小，两者在移动支付市场的竞争也是愈加的激烈。二者都想坐上移动支付市场的头把交椅。那么对于我们普通群众来说，钱放在支付宝和微信里，究竟那个更安全呢？

首先，支付宝就是为支付而诞生的，因此他做的事情也一直是围绕支付有关的。后来，又是逐渐派生出了余额宝，蚂蚁花呗、蚂蚁借呗等产品。现在更是形成了以蚂蚁金服集团为核心业务公司这样的金融体系。不仅如此，支付宝还设计了众多的“钱钱交易”应用，包括保险、贷款、理财产品。可以说，如今支付宝的金融体系是非常广阔的。

对于支付宝来说，如何是让百姓们放在里面的钱安全，自然是他的头等大事。所以，支付宝也一直在发展和完善各项支付技术来确保资金的安全可靠，支付宝主要通过以下技术与制度确保支付宝账户的安全：

　　第一、支付宝账户采用了先进的128位SSL加密技术（参照国内银行网站的普遍做法），确保您在支付宝页面上输入的任何信息可以安全传送到支付宝，而不用担心有人会通过网络窃取您的敏感信息。

　　第二、支付宝账户有两个密码，一个是登录密码，用于登录账户，查看账目等一般性操作；另一个是支付密码，凡是牵涉到资金流转的过程，都需要使用支付密码。缺少任何一个密码，都不能使资金发生流转。同时，同一天内系统只允许密码输入出错两次，第三次密码输入出错，系统将自动锁定该账户，三个小时后才会自动解除锁定。

　　第三、支付宝账户提现时，系统将检查您登记的银行账户姓名是否与您的认证姓名一致，否则不予提现。

　　第四、作为协议的一部分，支付宝账户中的资金将不会用于您指定的用途以外的任何用途。

而微信则是不同，做为一款社交产品的APP，早期更加专注的是聊天讯息的便捷性和简洁性。直到后来推出的微信红包等功能也是为了契合人们对社交的便利要求。而并非是一个有支付属性的平台。

据了解，微信支付联合中国人民财产保险股份有限公司为微信支付用户提供全额赔付的服务。微信支付承诺，用户如因使用微信支付造成资金被盗等损失，用户积极配合提供相关资料将可获得由人保财险提供的全赔保障。除此之外，微信支付现在有硬件锁、支付加密、紧急冻结、手机管家安全扫描、登陆设备保护等多重保障。如果RP真的暴跌，也是可以享受全额赔付的。

总的来说，微信支付和支付宝支付都是蛮安全的，毕竟得对庞大的用户和流动资金负责。当然，要我做出一个选择的话，我还是会选择支付宝，毕竟，马云说过，任何用户在支付宝中的资金被盗的话，可以获得天价赔偿啊。

小鱼儿爱上花无缺

首先这两款软件的背后都是在行业界巨无霸级别的公司微信是腾讯，支付宝是蚂蚁金服属于阿里巴巴，安全防范都比较高，在支付上阿里起步比较早，加上有账户险心里暗示比较更好一些，当然只是个人感觉😁

烘焙小二哥

微信与支付宝相比来说。微信是一种聊天软件，用来聊天交流工作中经常用到；而支付宝属于理财消费类型，用来支付，收款，生活中消费经常用到。

微信从聊天中很可能泄露个人信息，小程序也很多，存在不安全隐患……

支付宝就简单了，存取消费，理财产品之类的能够自己保护好个人信息。

若让我选择，我会首选支付宝。纯属个人建议……

人生狠无奈

微信支付和支付宝支付都是比较安全的支付方式，只要你不随便给别人的你的支付码。这两个非得比较的话我觉得是支付宝更安全，毕竟支付宝就是个支付的工具，微信同时是个聊天的工具，难免会造成危险，而且支付宝还有保险，你可以购买保险，保障你的财产。

爱吃橙子的王公子

微信支付和支付宝支付身后一个是腾讯一个是阿里。

支付这块阿里做的早，安全这块相对来说更完善。

腾讯最先发展的是社交，在安全这块怎么说呢，我是觉得不如支付宝。

因为在转账的时候，支付宝会提示你核对对方信息。

我基本用的是支付宝。

头牌

支付宝最安全(ღ˘⌣˘ღ)不容置疑

1号雅马哈

当然是支付宝更安全啦！支付宝还有安全保障，支付宝有从来没有听说过支付宝被盗号的，倒是微信经常被盗号，而且微信一开始也只是个聊天软件！

關鍵字: 微信 支付 移动互联网