近日國外安全社區(qū)公布微信支付官方SDK存在嚴(yán)重漏洞，可導(dǎo)致商家服務(wù)器被入侵，一旦攻擊者獲得商家的關(guān)鍵安全密鑰，就可以通過發(fā)送偽造信息來欺騙商家而無需付費(fèi)購買任何東西。目前，漏洞詳細(xì)信息以及攻擊方式已被公開，影響范圍巨大，建議用到JAVA SDK的商戶快速檢查并修復(fù)。

漏洞細(xì)節(jié)

微信支付SDK JAVA版的XXE漏洞，主要存在于商家服務(wù)器端的支付結(jié)果回調(diào) URL 處。在該處使用DOM處理回傳的XML格式的支付結(jié)果通知時，未禁用外部實(shí)體、參數(shù)實(shí)體、內(nèi)聯(lián)DTD等，從而導(dǎo)致存在XXE漏洞。

風(fēng)險等級

360安全監(jiān)測與響應(yīng)中心風(fēng)險評級為：高危

預(yù)警等級：藍(lán)色預(yù)警(一般網(wǎng)絡(luò)安全預(yù)警)

處置建議

微信官方目前已經(jīng)修復(fù)了XXE漏洞。使用微信支付的企業(yè)用戶請盡快更新微信支付的 JAVA SDK 進(jìn)行漏洞修復(fù)。

技術(shù)分析

微信支付 JAVA SDK 在WXPayUtil.java 中提供了 xmlToMap，用于將 XML 數(shù)據(jù)轉(zhuǎn)換為 Map 結(jié)構(gòu)。其內(nèi)部用到了 DocumentBuilderFactory 來以 DOM 方式解析 XML 數(shù)據(jù)。由于其允許外部實(shí)體解析，從而導(dǎo)致 XXE 漏洞。

目前，微信官方已通過禁止外部實(shí)體解析方式修復(fù)了該漏洞。如下圖：

河南億恩科技股份有限公司(www.czbl888.cn)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900