微信支付XXE漏洞

最新推荐文章于 2023-12-14 14:18:59 发布
最新推荐文章于 2023-12-14 14:18:59 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 后端 微信支付 文章标签: 微信支付 xxel漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29308413/article/details/83302787
版权

某个风和日丽的下午,突然收到领导的微信截图,

看到后虎躯一震,没遇到过o(╯□╰)o!!!!平复后使用无所不知的度娘XXE漏洞详情

XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),以下内容需要xml基础,再次不再科普。

众所周知,我们服务端获取微信支付回调结果的通知是通过读取流并转换成xml的形式,

/** 支付成功后,微信回调返回的信息 */
		String result = new String(outSteam.toByteArray(), "utf-8");
		Map<Object, Object> map = XMLUtil.doXMLParse(result);

但此时如果别人获取了我们的回调地址,并仿造了微信的返回结果,那么他是可以获取到我们服务器的信息,如这样

 或者这样

或者这样

那么如何解决呢,xxe说到底就是非法的xml,那么我们是可以在解析xml解析时,加入校验代码如下

  public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
        DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
        documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        documentBuilderFactory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
        documentBuilderFactory.setXIncludeAware(false);
        documentBuilderFactory.setExpandEntityReferences(false);

        return documentBuilderFactory.newDocumentBuilder();
    }

附上解析和校验的完整代码

/** 支付成功后,微信回调返回的信息 */
String result = new String(outSteam.toByteArray(), "utf-8");
Map<Object, Object> map = XMLUtil.doXMLParse(result);


/**
     * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。
     * @param strxml
     * @return
     * @throws JDOMException
     * @throws IOException
     */
    @SuppressWarnings({ "unchecked", "rawtypes" })
    public static Map doXMLParse(String strxml) throws JDOMException,IOException {
        strxml = strxml.replaceFirst("encoding=\".*\"", "encoding=\"UTF-8\"");
        Map<String, String> data = new HashMap<String, String>();
        if(null == strxml || "".equals(strxml)) {
            return data;
        }
        try {
           
            DocumentBuilder documentBuilder = WXPayXmlUtil.newDocumentBuilder();
            InputStream stream = new ByteArrayInputStream(strxml.getBytes("UTF-8"));
            org.w3c.dom.Document doc = documentBuilder.parse(stream);
            doc.getDocumentElement().normalize();
            NodeList nodeList = doc.getDocumentElement().getChildNodes();
            for (int idx = 0; idx < nodeList.getLength(); ++idx) {
                Node node = nodeList.item(idx);
                if (node.getNodeType() == Node.ELEMENT_NODE) {
                    org.w3c.dom.Element element = (org.w3c.dom.Element) node;
                    data.put(element.getNodeName(), element.getTextContent());
                }
            }
            try {
                stream.close();
            } catch (Exception ex) {
            	 logger.error(" 微信支付回调    xml  解析失败 ", ex);
            }
            return data;
        } catch (Exception ex) {
            WXPayUtil.getLogger().warn("Invalid XML, can not convert to map. Error message: {}. XML content: {}", ex.getMessage(), strxml);
            logger.error(" 微信支付回调    xml  解析失败 ", ex);
            return data;
        }
    }



public final class WXPayXmlUtil {
    public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
        DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
        documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        documentBuilderFactory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
        documentBuilderFactory.setXIncludeAware(false);
        documentBuilderFactory.setExpandEntityReferences(false);

        return documentBuilderFactory.newDocumentBuilder();
    }

    public static Document newDocument() throws ParserConfigurationException {
        return newDocumentBuilder().newDocument();
    }
}

PS:严重吐槽下,修复了漏洞,但是登录微信商户平台后,微信仍然提示修复漏洞,不修复关闭微信支付权限云云,和微信客服沟通,回馈,不论有没有修复,都会提示修复漏洞,严重鄙视!

 

附上官方链接https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

 

喵喵拳法
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web漏洞-XXE漏洞(详细)
Ays.Ie的博客
03-11 5489
该篇描述Web漏洞-XXE漏洞(详细)
XXE漏洞安全-全网最详细讲解】
LCW991207的博客
08-04 4401
XXE(XML External Entity)漏洞是一种安全漏洞,出现在使用XML解析器的应用程序中。它允许攻击者利用可信任的XML扩展功能来执行恶意操作,如读取本地文件、发起远程网络请求或执行任意命令。XXE漏洞的发生通常是由于应用程序在解析XML输入时未正确验证或限制实体引用。攻击者可以通过构造恶意的XML输入,将外部实体(external entity)引用进来,然后利用这些实体来获取敏感信息或进行其他攻击。
XXE漏洞详解与利用
qq_56438857的博客
08-11 7314
XML(Extensible Markup Language)意为可扩展性标记语言,我将介绍下 XML 的一些基础知识,方便你更好地理解漏洞原理。
XXE漏洞
huangyongkang666的博客
03-29 2359
XXE漏洞 1.漏洞简介 ​ XXE 漏洞全称XML External Entity Injection,即 XML 外部实体注入漏洞XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意 xml文件。 2.XML简介 ​ XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一
XXE漏洞详解
xcxhzjl的博客
11-18 2804
目录 一、XML基础 二、实体的分类 1、命名实体 2、字符实体 3、参数实体 4、外部实体 三、XXE漏洞 1、XXE漏洞发生在哪里 2、怎么判断网站存在XXE漏洞 3、XXE漏洞的危害 4、怎样构建XXE漏洞 5、XXE漏洞的防御 参考资料 XXE漏洞即外部实体注入攻击(XML External Entity)。 一、XML基础 XML(eXtensible Markup Language)是一种结构性标记语言,在格式上类似于HTML。可用来标记数据,定义...
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
5、XXE漏洞pdf资料
10-15
5、XXE漏洞
XXE漏洞详解(全网最详细)
qq_61553520的博客
05-09 3716
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入。
XXE是什么?XXE漏洞原理及案例讲解(从0到1完全掌握XXE
最新发布
白帽黑客八哥的博客
12-14 4465
XXE(XML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。XML文档可以定义实体,它们是存储文档中其他地方重复使用的数据的方式。外部实体是一种特殊类型的实体,它们的内容被定义在XML文档外部。XXE漏洞发生在当应用程序解析含有外部实体引用的XML文档时,没有正确地限制或禁止这些外部实体的使用。XXE是一种严重的安全漏洞,它的存在可能导致严重的安全风险。开发人员和安全专家必须了解此类漏洞的工作原理,确保在处理XML数据时采取适当的安全措施,以保护应用程序和数据的安全。
java 安全 支付_微信支付Java SDK XXE漏洞实战浅析
weixin_31068491的博客
02-16 676
微信支付SDK JAVA版今天曝出了XXE漏洞,主要原因是在使用DOM处理回传的XML格式的支付结果通知时,未禁用外部实体、参数实体、内联DTD等,导致存在XXE漏洞。0x01 原理分析作者原文分析提到在看微信支付JAVA SDK的说明文档时,发现了结果通知代码示例:import com.github.wxpay.sdk.WXPay;import com.github.wxpay.sdk.WXPa...
php微信支付漏洞,微信支付的SDK曝出重大漏洞XXE漏洞
weixin_29231027的博客
03-23 362
一、背景昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3二、漏洞原理1. XXE漏洞此次曝出的漏洞属于XXE漏...
XXE漏洞原理--简单理解
一醉一休的博客
03-16 3573
XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据 DTD(Document Type Definition 文档类型定义) 1.DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用 2.外部实体(即
(39.2)【XXE漏洞专题】XXE原理、产生、检测、危害、利用、示例
04-26 3635
【专题】XXE入门
微信支付 Java SDK XXE 漏洞原因
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全的XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值