微信支付回调,XXE攻击漏洞防止方法

最新推荐文章于 2022-11-25 17:05:54 发布
最新推荐文章于 2022-11-25 17:05:54 发布
阅读量433 收藏
点赞数
原文链接:http://www.cnblogs.com/Little-Wang/p/9273283.html
版权

最近微信支付回调发现的XXE攻击漏洞(什么是XXE攻击,度娘、bing去搜,一搜一大把),收到通知后即检查代码,

微信给的解决方法是如果你使用的是:

XmlDocument:

XmlDocument xd = new XmlDocument
{
     XmlResolver = null,
};

我们做微信支付没有使用他们的SDK,底层解析XML没有使用XmlDocument,用的是序列化XmlSerializer.Deserialize

XmlSerializer:

1)、如果你使用的是Stream、TextReader通过源码可以得知,已禁用XmlResolver

/// <include file='doc\XmlSerializer.uex' path='docs/doc[@for="XmlSerializer.Deserialize"]/*' />
/// <devdoc>
///    <para>[To be supplied.]</para>
/// </devdoc>
public object Deserialize(Stream stream) {
      XmlTextReader xmlReader = new XmlTextReader(stream);
      xmlReader.WhitespaceHandling = WhitespaceHandling.Significant;
      xmlReader.Normalization = true;
      xmlReader.XmlResolver = null;
      return Deserialize(xmlReader, null);
}
        
/// <include file='doc\XmlSerializer.uex' path='docs/doc[@for="XmlSerializer.Deserialize1"]/*' />
/// <devdoc>
///    <para>[To be supplied.]</para>
/// </devdoc>
public object Deserialize(TextReader textReader) {
      XmlTextReader xmlReader = new XmlTextReader(textReader);
      xmlReader.WhitespaceHandling = WhitespaceHandling.Significant;
      xmlReader.Normalization = true;
      xmlReader.XmlResolver = null;
      return Deserialize(xmlReader, null);
}

2)、如果你使用的是XmlReader,那么需要Setting一下

using (XmlReader xr = XmlReader.Create(s, new XmlReaderSettings()
{
      XmlResolver = null,
}))
{
      XmlSerializer xs = new XmlSerializer(typeof(T));
      return xs.Deserialize(xr) as T;
}

这里可以防止实体注入,另外如果想要更加安全一点的去禁用一部分Uri外部引用,过滤安全的链接,那么

根据上图可以重写XmlResolver

3)、使用其他lib包的,我也不知道了,囧...

更加简单的做法就是过滤关键字,如果包含则直接丢弃之

 

转载于:https://www.cnblogs.com/Little-Wang/p/9273283.html

dianhuoshu1349
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记录一次系统入侵,微信支付回调
暴躁兔子的记录
04-08 1365
早上检查系统日志,发现有很多打印 2019-04-08 03:15:34 [ http-bio-8080-exec-149:384527931 ] - [ WARN ] Invalid XML, can not convert to map. Error message: DOCTYPE is disallowed when the feature "http://apache.org/xml/...
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞
微信支付sdk被曝xxe漏洞漏洞原理分析
weixin_33752045的博客
06-15 548
2019独角兽企业重金招聘Python工程师标准>>> ...
支付平台服务器被攻击怎么应对?
luolingfeng666的博客
05-25 1925
在商业部门,特别是在跨境电子商务中,支付和付款是不可或缺的。第三方和第四方支付遍地开花,造成了狼多肉少的情况,为市场占有量,不少人动起了歪脑筋,利用互联网攻击同行业务服务器(常见DDOS,CC攻击),让竞争对手业务瘫痪,从而坐收渔利,那么,被ddos,cc攻击后,该怎么应对呢? 需要一台能承受你现在攻击量的高防服务器,例如当你遇到200G流量攻击时,务必选择300G以上的防御,留下足够的空间,预防发生紧急情况。高防服务器昵称联系Q 一、DDos简介 DDoS(Distrib...
解决微信支付XXE漏洞
chengshan0388的博客
10-14 280
解决微信支付XXE漏洞 近期腾讯打电话过来和运维说,公司的运营系统微信支付存在XXE漏洞,刚开始以为是什么难的问题,经过查资料原来是xml注入漏洞,腾讯也早有意识到这方面的问题,并且提供了解决方案:https://pay.weixin.qq.com/wiki/doc/api/m...
【红色警报】XXE 高危漏洞将大面积影响微信支付安全,可能导致系统沦陷,请升级你的系统!...
aifangzsrxp4574的专栏
07-04 602
今天,微信支付发布了一则紧急通知: 尊敬的微信支付商户: 您的系统在接受微信支付XML格式的商户回调通知(支付成功通知、退款成功通知、委托代扣签约/解约/扣款通知、车主解约通知)时,如未正确地进行安全设置或编码,将会引入有较大安全隐患的XML外部实体注入漏洞(XMLExternalEntityInjection,简称XXE)。 请贵司研发人员务...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
最新发布
09-15
在本节中,我们将详细介绍 XXE 漏洞的利用方法,特别是任意文件读取的攻击过程。 一、环境搭建 环境搭建是进行 XXE 漏洞利用的前提。我们可以使用 Virtual Machine(VM)来搭建测试环境。首先,需要下载 ...
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞攻击方法有多种,常见的攻击方法有: 1. 读取敏感信息:攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息,如读取系统文件、读取数据库中的数据等。 2. 执行系统命令:攻击者可以通过构造...
微信支付XXE漏洞修复解决办法
qq_26387907的博客
10-22 616
@tz 根据微信官方回复消息: 1、您更新的只是官方SDK的部分代码,没有完全更新,或者在SDK外还使用了XML的解析没有防XXE 2、您可能有多个回调地址,而你只修复了其中一个 3、您可能有多个服务器,你只发布了其中一台或者修改了没有正式发布 4、实际做xml解析的不是修改的地方 5、xml解析器和httpclient存在多个版本,有冲突,pom.xml可以查看jar版本号。 修改过程; pub...
生产事件实录-浅谈XXE漏洞
憧憬美好生活的boy
04-19 340
问题起源 微信商户平台收到了微信的安全通知,如下所示,漏洞详情则是XEE漏洞。所以就去了解了XEE 早在2018年7月初有国外白帽子就发现了这个漏洞,作为一线技术人员竟然全然不知(自我检讨ing…) 什么是XEE漏洞XXE是指基于xml的,xml外部实体攻击 下面看一段简单的xml文档代码,其中‘username’,‘password’,'address’被称为xml的元素 <?xm...
Web安全攻防-----学习笔记(四)之XXE漏洞、WAF的那些事
舞指如歌~的博客
09-12 807
4.12 XXE漏洞 4.12.1 介绍XXE漏洞 XML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文档使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档包括XML声明、DTD文档类型定义、文档元素。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的...
php如何防止网站被攻击,php防止网站被攻击办法
weixin_31210347的博客
03-18 365
最近网站经常被攻击,后来想到了一个利用php来防止网站受攻击的办法,下面是我的代码,代码不是最好的,根据自己的需求来做,下面来看看我的代码.30) unlink($fileforbid);else {$fileforbidarr = @file($fileforbid);if ($ip == substr($fileforbidarr[0], 0, strlen($ip))) {if ($time...
如何在 PHP 中防止 XSS
allway2的博客
07-24 2101
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
CSRF学习笔记
星落
11-25 576
Crose-Site Request Forgery,跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。
微信XXE安全漏洞处理(Java)
热门推荐
Umbrella Corporation
09-14 2万+
登录微信提供处理XXE安全漏洞页面 地址:https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5 原文如下: 最佳安全实践 关于XML解析存在的安全问题指引 微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁...
伪装微信支付回调通知支付安全
flysnownet的博客
05-11 1万+
原理 1.微信支付成功后,微信会给业务服务器发送回调通知,回调内容为一系列 参数的键值对参数按照key=value的格式,并按照参数名ASCII字典序排序生成字符串,然后用商户私钥对其进行签名,如MD5,并将签名撇接到字符串后,然后以XML方式发送给业务服务器,如果秘钥泄露,他人可任意伪造回调数据进行假通知,在业务服务器(1.没有更进一步判断IP是否来自微信服务器,2没有进行主动查询)的情况下订...
谈谈微信支付曝出的漏洞
weixin_30739595的博客
07-05 399
一、背景 昨天(2018-07-04)微信支付的SDK曝出重大漏洞XXE漏洞),通过该漏洞攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。 漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3 二、漏洞原理 1. XXE漏洞 ...
微信支付 Java SDK XXE 漏洞原因
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全的XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值