解决微信支付XXE漏洞

最新推荐文章于 2024-05-29 22:07:37 发布
最新推荐文章于 2024-05-29 22:07:37 发布
阅读量280 收藏
点赞数
原文链接:https://my.oschina.net/kkgh/blog/2245405
版权

解决微信支付XXE漏洞

近期腾讯打电话过来和运维说,公司的运营系统微信支付存在XXE漏洞,刚开始以为是什么难的问题,经过查资料原来是xml注入漏洞,腾讯也早有意识到这方面的问题,并且提供了解决方案:https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5。

查阅了相关博客描述,主要原因大致方向是:在微信回调接口中,解析XML转为Map时方法不安全。所以针对这个问题修改toMap方法
修改这个方法,加上一些安全过滤属性,包括: 禁用xml中的inline DOCTYPE,xml外部实体注入,禁用实体参数Entity,解析xml时忽略dtd声明。

微信官方已更新最新的SDK解决方案是通过DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();的方式,而公司用的是微信比较旧版本的SDK,解析XML使用DocumentHelper,存在XXE漏洞
微信较旧原版SDK

后面我改成SAXReader解析xml方式,具体代码如下。

public static Map toMap(String xml){
        Map map=new HashMap();
        try {   
            SAXBuilder builder = new SAXBuilder();
            SAXReader reader = new SAXReader();
            InputSource source = new InputSource(new StringReader(xml));
            Document document = reader.read(source); //DocumentHelper.parseText(xml); 

            String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
            builder.setFeature(FEATURE, true);

            FEATURE = "http://xml.org/sax/features/external-general-entities";
            builder.setFeature(FEATURE, false);

            FEATURE = "http://xml.org/sax/features/external-parameter-entities";
            builder.setFeature(FEATURE, false);

            FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
            builder.setFeature(FEATURE, false);

            Element nodeElement = document.getRootElement();  

            if(nodeElement!=null){
                map.put(nodeElement.getName(),null);
                List node = nodeElement.elements();
                if(node!=null){
                    map.put(nodeElement.getName(),new HashMap());
                    for (Iterator it = node.iterator(); it.hasNext();) {  
                        Element elm = (Element) it.next();
                        ((Map)map.get(nodeElement.getName())).put(elm.getName(), elm.getText());
                    }  
                }
            }
        } catch (Exception e) {  
            e.printStackTrace();  
        }  
        return map;  
    }

SAXReader 需要依赖导入jdom.jar包。
发布到项目中,部署公网后,使用微信企业账号登录微信官网,到[安全医生]模块进行站点安全扫描,结果通过安全检测。

finally, 问题解决!

--------------------------------------------------------------------->>[Every problem has its solutions]

转载于:https://my.oschina.net/kkgh/blog/2245405

chengshan0388
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞
微信支付回调,XXE攻击漏洞防止方法
dianhuoshu1349的博客
07-06 433
最近微信支付回调发现的XXE攻击漏洞(什么是XXE攻击,度娘、bing去搜,一搜一大把),收到通知后即检查代码, 微信给的解决方法是如果你使用的是: XmlDocument: XmlDocument xd = new XmlDocument { XmlResolver = null, }; 我们做微信支付没有使用他们的SDK,底层解析XML没有使用XmlD...
Web安全攻防-----学习笔记(四)之XXE漏洞、WAF的那些事
舞指如歌~的博客
09-12 807
4.12 XXE漏洞 4.12.1 介绍XXE漏洞 XML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文档使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档包括XML声明、DTD文档类型定义、文档元素。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的...
微信支付XML外部实体注入安全漏洞XXE的攻击)
最新发布
shuaiqidundun的博客
05-29 287
商户接收回调通知URL对应的程序代码,如果不遵循安全规范,将会有XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。商户可能出现资金损失的情况,所以请贵司重视,必须修复漏洞。外界攻击者通过模拟回调通知,在回调通知中引入不安全的XML,即可在商户服务器上执行系统命令。` XXE漏洞的修复方法,是在解析XML之前加入禁用实体解析的代码。
生产事件实录-浅谈XXE漏洞
憧憬美好生活的boy
04-19 340
问题起源 微信商户平台收到了微信的安全通知,如下所示,漏洞详情则是XEE漏洞。所以就去了解了XEE 早在2018年7月初有国外白帽子就发现了这个漏洞,作为一线技术人员竟然全然不知(自我检讨ing…) 什么是XEE漏洞XXE是指基于xml的,xml外部实体攻击 下面看一段简单的xml文档代码,其中‘username’,‘password’,'address’被称为xml的元素 <?xm...
关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补
wtbapi的博客
07-06 5718
7月4日微信发来通知说存在XML实体注入漏洞,请修改。由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实...
【网络安全】XXE--XML外部实体注入
边缘拼命划水的小陈
04-24 1013
XML外部实体注入(XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
5、XXE漏洞pdf资料
10-15
5、XXE漏洞
微信支付xxe漏洞php,微信支付流程及其XXE漏洞
weixin_36237054的博客
04-01 496
0x00 概述7月4日,网上爆出微信支付sdk存在xxe漏洞,原因是商户用来获取微信支付结果的notify_url接口可以接受XML数据,而且未禁用外部实体,利用该漏洞可以读取支付服务器文件,甚至可能获取商户key实现0元支付。0x01 微信支付流程以微信公众号支付为例,其他支付方式大同小异基本流程:1.商户后台携带支付数据调用微信统一下单api:https://api.mch.weixin.qq...
java 安全 支付_微信支付Java SDK XXE漏洞实战浅析
weixin_31068491的博客
02-16 676
微信支付SDK JAVA版今天曝出了XXE漏洞,主要原因是在使用DOM处理回传的XML格式的支付结果通知时,未禁用外部实体、参数实体、内联DTD等,导致存在XXE漏洞。0x01 原理分析作者原文分析提到在看微信支付JAVA SDK的说明文档时,发现了结果通知代码示例:import com.github.wxpay.sdk.WXPay;import com.github.wxpay.sdk.WXPa...
开源组件风险修复,升级版本就够了吗?
热门推荐
cenlois的博客
03-12 1万+
通常情况下开源组件风险的修复建议是升级版本。但是这样就够了么?近日,开源安全研究院研究员发现了风险修复里一些很有意思的点。 1.开源安全研究院先是对MeterSphere的1.18.0版本进行了开源组件的安全检测发现了存在风险并向MeterSphere提出了修复的建议,MeterSphere也对此表示了感谢。 2.随后绿盟发现MeterSphere开源持续测试平台的三处漏洞并上报,MeterSphere对此表示了感谢并且升级版本为1.18.1。 3.这时开源安全研究院开始思考为何最初...
XXE漏洞详解与利用
qq_56438857的博客
08-11 7314
XML(Extensible Markup Language)意为可扩展性标记语言,我将介绍下 XML 的一些基础知识,方便你更好地理解漏洞原理。
XML外部实体注入漏洞- XXE
weixin_40230278的博客
08-05 846
XML外部实体注入漏洞- XXE 概览: 实验内容 影响版本: 漏洞介绍 实验结果分析与总结 修复方案 实验内容 介绍XXE漏洞的触发方式和利用方法,简单介绍XXE漏洞的修复。 影响版本: libxml2.8.0版本 漏洞介绍 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体...
DocumentHelper.parseText()报:前言中不允许有内容
maziaotong的博客
08-02 2064
二是编码格式的问题,windows下使用utf-8时,前面会默认加入BOM字符,用于告知这是utf-8格式编码;但在代码中,这是不允许的。将参数复制到记事本中,我在这里使用的是Notepad++,将参数编码调整为UTF-8。一般这是参数格式导致的问题,参数格式为xml;项目上云改造过程中,发现在使用Postman测试接口时发生接口调用报415错误。一是标签的”“使用的是大写的”“而后将参数复制重新测试即可通过。...
XXE代码审计以及XXE漏洞修复
01-27 1741
java XXE代码审计 java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式 使用DOM解析XML protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String result=""; try { //DOM
微信支付XXE漏洞
qq_29308413的博客
10-23 1190
某个风和日丽的下午,突然收到领导的微信截图, 看到后虎躯一震,没遇到过o(╯□╰)o!!!!平复后使用无所不知的度娘XXE漏洞详情 XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),以下内容需要xml基础,再次不再科普。 众所周知,我们服务端获取微信支付回调结果的通知是通过读取流并转换成xml的形式, /** 支付成功后,微信回调返回...
微信支付 Java SDK XXE 漏洞原因
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全的XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值