共计 461 个字符,预计需要花费 2 分钟才能阅读完成。
事情是这样的,在我所在的一个程序售后群里,突然有人晒了一张关于“易支付 sql 注入测试”的截图,截图里面的内容是某某网站所用的支付接口被 sql 注入,然后改了订单回调导致支付成功。后续有群友通过截图里的“tg 机器人”名字找到了这个工具的 tg 号,然后就一传十,十传百,百传千,经过后续别人测试自己的网站或者测试同行的网站发现只要是用了这款程序的电商平台,发卡平台无一幸免都会被注入且回调成功。
现在的情况就是成千上万对接了这款程序支付接口的网站都被撸了羊毛,其他程序也有这种情况,只不过这款程序的情况比较严重,tg 机器人的作者在频道里号称通杀该程序所有版本。
遭受羊毛党比较严重的平台是那些所谓的卡盟,卡商,因为他们都是代理的总平台,然后往里面预充了很多钱,所以羊毛党可以操作完平台的支付回调之后随心所欲的购买那些 [自动到账] 的会员,居群里被撸的同行说有的被撸了几千,有的被撸了几万,现在程序的开发者给出的建议是关站,等解决了 sql 注入的问题使用新版本之后再开站。
我粗略的算了下 这次事件受到波及的网站很多,损失的金额能起码超过百万。
正文完
