微信支付XXE漏洞

最新推荐文章于 2024-06-19 17:20:50 发布
最新推荐文章于 2024-06-19 17:20:50 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 后端 微信支付 文章标签: 微信支付 xxel漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29308413/article/details/83302787
版权

某个风和日丽的下午,突然收到领导的微信截图,

看到后虎躯一震,没遇到过o(╯□╰)o!!!!平复后使用无所不知的度娘XXE漏洞详情

XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),以下内容需要xml基础,再次不再科普。

众所周知,我们服务端获取微信支付回调结果的通知是通过读取流并转换成xml的形式,

/** 支付成功后,微信回调返回的信息 */
		String result = new String(outSteam.toByteArray(), "utf-8");
		Map<Object, Object> map = XMLUtil.doXMLParse(result);

但此时如果别人获取了我们的回调地址,并仿造了微信的返回结果,那么他是可以获取到我们服务器的信息,如这样

 或者这样

或者这样

那么如何解决呢,xxe说到底就是非法的xml,那么我们是可以在解析xml解析时,加入校验代码如下

  public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
        DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
        documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        documentBuilderFactory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
        documentBuilderFactory.setXIncludeAware(false);
        documentBuilderFactory.setExpandEntityReferences(false);

        return documentBuilderFactory.newDocumentBuilder();
    }

附上解析和校验的完整代码

/** 支付成功后,微信回调返回的信息 */
String result = new String(outSteam.toByteArray(), "utf-8");
Map<Object, Object> map = XMLUtil.doXMLParse(result);


/**
     * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。
     * @param strxml
     * @return
     * @throws JDOMException
     * @throws IOException
     */
    @SuppressWarnings({ "unchecked", "rawtypes" })
    public static Map doXMLParse(String strxml) throws JDOMException,IOException {
        strxml = strxml.replaceFirst("encoding=\".*\"", "encoding=\"UTF-8\"");
        Map<String, String> data = new HashMap<String, String>();
        if(null == strxml || "".equals(strxml)) {
            return data;
        }
        try {
           
            DocumentBuilder documentBuilder = WXPayXmlUtil.newDocumentBuilder();
            InputStream stream = new ByteArrayInputStream(strxml.getBytes("UTF-8"));
            org.w3c.dom.Document doc = documentBuilder.parse(stream);
            doc.getDocumentElement().normalize();
            NodeList nodeList = doc.getDocumentElement().getChildNodes();
            for (int idx = 0; idx < nodeList.getLength(); ++idx) {
                Node node = nodeList.item(idx);
                if (node.getNodeType() == Node.ELEMENT_NODE) {
                    org.w3c.dom.Element element = (org.w3c.dom.Element) node;
                    data.put(element.getNodeName(), element.getTextContent());
                }
            }
            try {
                stream.close();
            } catch (Exception ex) {
            	 logger.error(" 微信支付回调    xml  解析失败 ", ex);
            }
            return data;
        } catch (Exception ex) {
            WXPayUtil.getLogger().warn("Invalid XML, can not convert to map. Error message: {}. XML content: {}", ex.getMessage(), strxml);
            logger.error(" 微信支付回调    xml  解析失败 ", ex);
            return data;
        }
    }



public final class WXPayXmlUtil {
    public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
        DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
        documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        documentBuilderFactory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
        documentBuilderFactory.setXIncludeAware(false);
        documentBuilderFactory.setExpandEntityReferences(false);

        return documentBuilderFactory.newDocumentBuilder();
    }

    public static Document newDocument() throws ParserConfigurationException {
        return newDocumentBuilder().newDocument();
    }
}

PS:严重吐槽下,修复了漏洞,但是登录微信商户平台后,微信仍然提示修复漏洞,不修复关闭微信支付权限云云,和微信客服沟通,回馈,不论有没有修复,都会提示修复漏洞,严重鄙视!

 

附上官方链接https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

 

喵喵拳法
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
微信支付xxe漏洞php,微信支付流程及其XXE漏洞
weixin_36237054的博客
04-01 499
0x00 概述7月4日,网上爆出微信支付sdk存在xxe漏洞,原因是商户用来获取微信支付结果的notify_url接口可以接受XML数据,而且未禁用外部实体,利用该漏洞可以读取支付服务器文件,甚至可能获取商户key实现0元支付。0x01 微信支付流程以微信公众号支付为例,其他支付方式大同小异基本流程:1.商户后台携带支付数据调用微信统一下单api:https://api.mch.weixin.qq...
XXE漏洞安全-全网最详细讲解】
最新发布
heike_Ch的博客
06-19 937
Entity)漏洞是一种安全漏洞,出现在使用XML解析器的应用程序中。它允许攻击者利用可信任的XML扩展功能来执行恶意操作,如读取本地文件、发起远程网络请求或执行任意命令。XXE漏洞的发生通常是由于应用程序在解析XML输入时未正确验证或限制实体引用。攻击者可以通过构造恶意的XML输入,将外部实体(externalentity)引用进来,然后利用这些实体来获取敏感信息或进行其他攻击。其中最常见的一种攻击是利用DTD(Document Type。
微信支付xxe漏洞php,XXE 漏洞微信支付有什么影响?
weixin_29294597的博客
04-01 63
senparclsx14 个回复• 查看 176 次• 52天前magiboy11 个回复• 查看 288 次• 91天前yintingji10 个回复• 查看 96 次• 5天前zxz5249 个回复• 查看 62 次• 8天前花看半开丶9 个回复• 查看 308 次• 111天前a52188967 个回复• 查看 284 次• 106天前dreameeq6 个回复• 查看 222 次• 52天...
解决微信支付XXE漏洞
chengshan0388的博客
10-14 287
解决微信支付XXE漏洞 近期腾讯打电话过来和运维说,公司的运营系统微信支付存在XXE漏洞,刚开始以为是什么难的问题,经过查资料原来是xml注入漏洞,腾讯也早有意识到这方面的问题,并且提供了解决方案:https://pay.weixin.qq.com/wiki/doc/api/m...
微信支付XXE漏洞修复
hanbb1982的专栏
09-21 1719
1.场景还原 2.原因分析 所谓的外部实体注入漏洞,主要是在xml转map的时候处理不得当造成的,所以接下来的修复工作主要在xml解析类中下功夫 3.实现方案 由于我们用的是.net的开发环境。所以在原有解析xml的代码上添加一句就可以 XmlDocument xmlDoc = new XmlDocument(); xmlDoc.Lo...
php微信支付漏洞,微信支付的SDK曝出重大漏洞XXE漏洞
weixin_29231027的博客
03-23 365
一、背景昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3二、漏洞原理1. XXE漏洞此次曝出的漏洞属于XXE漏...
微信支付XXE漏洞修复解决办法
qq_26387907的博客
10-22 620
@tz 根据微信官方回复消息: 1、您更新的只是官方SDK的部分代码,没有完全更新,或者在SDK外还使用了XML的解析没有防XXE 2、您可能有多个回调地址,而你只修复了其中一个 3、您可能有多个服务器,你只发布了其中一台或者修改了没有正式发布 4、实际做xml解析的不是修改的地方 5、xml解析器和httpclient存在多个版本,有冲突,pom.xml可以查看jar版本号。 修改过程; pub...
微信支付XML外部实体注入安全漏洞XXE的攻击)
shuaiqidundun的博客
05-29 297
商户接收回调通知URL对应的程序代码,如果不遵循安全规范,将会有XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。商户可能出现资金损失的情况,所以请贵司重视,必须修复漏洞。外界攻击者通过模拟回调通知,在回调通知中引入不安全的XML,即可在商户服务器上执行系统命令。` XXE漏洞的修复方法,是在解析XML之前加入禁用实体解析的代码。
EasyWechat 3.0修复微信支付XXE漏洞
amazingdyd的博客
01-22 1121
微信支付近期有XXE重大漏洞,如果不修复,可能会让您的支付功能停用。 使用了官方SDK还好说,那么,使用旧版本的EASYWECHAT用户该怎么修复呢? 1.首先,我们需要找到文件XXX\vendor\overtrue\wechat\src\Support\XML.php 2.我们更改文件中的parse方法(大概在38行)为 public static function parse...
ASP.NET微信支付XXE漏洞修复
weixin_30508309的博客
04-23 263
1. XXE场景 关于XML解析存在的安全问题指引 微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。 如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,请务必检查是否对进行了防范。 场景1:支付成功通知:noti...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
5、XXE漏洞pdf资料
10-15
XXE(XML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的恶意XML输入时。XML(eXtensible Markup Language)是一种用于存储和传输数据的标记语言,它的主要特点是允许...
java10进制数和16进制数字相互转换
热门推荐
qq_29308413的博客
04-23 5万+
1 将java10进制数字转换为16进制 String hex= Integer.toHexString(numb); 2 将java 16进制字符转换为10进制数 BigInteger bigint=new BigInteger(hexs, 16); int numb=bigint.intValue(); 下面附完整代码 package com.pinyougou.sell...
记阿里云 docker Error response from daemon 的一次解决办法
qq_29308413的博客
03-29 2万+
在阿里云中使用docker 安装 gogs时,运行如下命令时,报出一个莫名奇妙的错 docker run -d --name=gogs -p 10022:22 -p 3000:3000 -v /var/gogsdata:/data gogs/gogs 报错提示如下: /usr/bin/docker-current: Error response from daemon: oci run...
springboot 中开启mybatis的日志
qq_29308413的博客
12-21 1万+
项目中使用的是JPA+mybatisplus  ,运行时发现jpa   的sql  有日志输出,但是mybatis  无日志输出。 检查发现jpa   开启了日志输出 mybatis  需要单独开启 格式如下: logging.level.你的mapper路径=debug 我的如下 重启项目后,果然有效: ...
微信支付 Java SDK XXE 漏洞原因
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全的XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值