近日國外安全社區公布微信支付官方SDK存在嚴重漏洞,可導致商家服務器被入侵,一旦攻擊者獲得商家的關鍵安全密鑰,就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。目前,漏洞詳細信息以及攻擊方式已被公開,影響范圍巨大,建議用到JAVA SDK的商戶快速檢查并修復。
近日國外安全社區公布微信支付官方SDK存在嚴重漏洞,可導致商家服務器被入侵,一旦攻擊者獲得商家的關鍵安全密鑰,就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。目前,漏洞詳細信息以及攻擊方式已被公開,影響范圍巨大,建議用到JAVA SDK的商戶快速檢查并修復。
漏洞細節
微信支付SDK JAVA版的XXE漏洞,主要存在于商家服務器端的支付結果回調 URL 處。在該處使用DOM處理回傳的XML格式的支付結果通知時,未禁用外部實體、參數實體、內聯DTD等,從而導致存在XXE漏洞。
風險等級
360安全監測與響應中心風險評級為:高危
預警等級:藍色預警(一般網絡安全預警)
處置建議
微信官方目前已經修復了XXE漏洞。使用微信支付的企業用戶請盡快更新微信支付的 JAVA SDK 進行漏洞修復。
技術分析
微信支付 JAVA SDK 在WXPayUtil.java 中提供了 xmlToMap,用于將 XML 數據轉換為 Map 結構。其內部用到了 DocumentBuilderFactory 來以 DOM 方式解析 XML 數據。由于其允許外部實體解析,從而導致 XXE 漏洞。
目前,微信官方已通過禁止外部實體解析方式修復了該漏洞。如下圖:
河南億恩科技股份有限公司(www.czbl888.cn)始創于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務,另有網總管、名片俠網絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900
