微信支付XML解析存在的安全问题(XXE)--备忘录

最新推荐文章于 2024-05-30 08:00:00 发布
最新推荐文章于 2024-05-30 08:00:00 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 微信 文章标签: XXE预防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42277412/article/details/80926898
版权

微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。

此漏洞可导致商家服务器被入侵,获得关键安全密钥后,骇客即可肆意买买买而不需要付一分钱。

而这个问题主要存在于JAVA版本SDK中的实现存在一个xxe漏洞,攻击者可以向URL构建恶意payload,根据窃取商家服务器的任何信息。

本人:org.jdom.input.SAXBuilder

 

InputStream in = new ByteArrayInputStream(strxml.getBytes("UTF-8"));
SAXBuilder builder = new SAXBuilder();
//XML外部实体(XXE)预防:
builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
builder.setFeature("http://xml.org/sax/features/external-general-entities", false);
builder.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

Document doc = builder.build(in);
 

参考的链接:
 

微信:关于XML解析存在的安全问题指引
 

XML外部实体(XXE)预防备忘单
 

https://blog.csdn.net/u013224189/article/details/49759845

                

        

        

    




    

      

        

            

              
                
                  木辰風
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
XML schema 编辑工具 xxe-perso-4_9_1

				
			

			

				

					11-19
				

			

		

		

			
				
7. **实体管理**:对于XXE问题,好的XML Schema编辑器会提供安全设置,允许用户控制外部实体的解析防止XXE攻击。  8. **版本控制**:支持版本管理,方便团队协作,追踪Schema的修改历史。  9. **文档生成**:根据...

			
		

	



                

              
                



	

		

			

				
					
解决微信支付XXE漏洞

				
			

			

				

					chengshan0388的博客
				

				

					10-14
					
					295
					
				

			

		

		

			
				
解决微信支付XXE漏洞 
 
近期腾讯打电话过来和运维说,公司的运营系统微信支付存在XXE漏洞,刚开始以为是什么难的问题,经过查资料原来是xml注入漏洞,腾讯也早有意识到这方面的问题,并且提供了解决方案:https://pay.weixin.qq.com/wiki/doc/api/m...

			
		

	



                


  
              

                


	

		

			

				
					
微信支付XML外部实体注入安全漏洞(XXE的攻击)

				
			

			

				

					shuaiqidundun的博客
				

				

					05-29
					
					313
					
				

			

		

		

			
				
商户接收回调通知URL对应的程序代码,如果不遵循安全规范,将会有XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。商户可能出现资金损失的情况,所以请贵司重视,必须修复漏洞。外界攻击者通过模拟回调通知,在回调通知中引入不安全的XML,即可在商户服务器上执行系统命令。` XXE漏洞的修复方法,是在解析XML之前加入禁用实体解析的代码。

			
		

	





	

		

			

				
					
XML外部实体注入(XXE)

					
最新发布

				
			

			

				

					常备不懈
				

				

					05-30
					
					394
					
				

			

		

		

			
				
XML外部实体注入(XML eXternal Entity Injection,XXE)是一种针对解析XML输入的应用程序的攻击。当应用程序处理包含不受信任的外部实体引用的XML输入,并使用配置不当的XML解析器时,就可能发生这种攻击。此类攻击可能导致机密数据泄露、拒绝服务攻击(DoS)、服务器端请求伪造(SSRF)以及从解析器所在服务器进行端口扫描等一系列系统安全问题

			
		

	



		

			
		



	

		

			

				
					
微信公众号接收事件推送XML数据包解析成实体对象

				
			

			

				

					行走的画报
				

				

					06-28
					
					1478
					
				

			

		

		

			
				
微信事件推送xml数据包转换成实体对象

			
		

	





	

		

			

				
					
解析微信返回的xml

				
			

			

				

					qq_54571327的博客
				

				

					02-10
					
					892
					
				

			

		

		

			
				
解析微信返回的xml

			
		

	





	

		

			

				
					
谈谈微信支付曝出的漏洞

				
			

			

				

					weixin_30739595的博客
				

				

					07-05
					
					408
					
				

			

		

		

			
				
一、背景
昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。
漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3
二、漏洞原理
1. XXE漏洞
...

			
		

	





	

		

			

				
					
XXE - 防御策略-01

				
			

			

				

					09-15
				

			

		

		

			
				
XXE(Xml External Entity)漏洞是一种常见的 XML 解析漏洞,攻击者可以通过构造恶意 XML 文档来读取敏感信息或执行系统命令。为了防御 XXE 漏洞,需要了解其成因和防御策略。  一、XXE 漏洞消亡原因  从 2018 年...

			
		

	





	

		

			

				
					
微信最新支付sdk-修复了最近的漏洞

				
			

			

				

					07-06
				

			

		

		

			
				
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。

			
		

	





	

		

			

				
					
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表

				
			

			

				

					02-06
				

			

		

		

			
				
XML外部实体(XXE,XML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...

			
		

	





	

		

			

				
					
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】

				
			

			

				

					07-30
				

			

		

		

			
				
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...

			
		

	





	

		

			

				
					
微信XML解析

				
			

			

				

					WY的专栏
				

				

					01-13
					
					4704
					
				

			

		

		

			
				
上一篇文章微信开发-java篇中简单的介绍了微信开发入门,里面引用的文章中,使用XML解析是用dom4j来解析的,但回复微信消息的时候,采用的组包方式是直接字符串拼接的方法,这种方法虽然直观,但不方便拓展。
我们也可以用另外的方式,使用XStrem库,进行消息组包。
XStream是一个序列化对象为XML或XML转换为对象的库。
关于XStream的教程,大家可以阅读下易百教程的XStrea

			
		

	





	

		

			

				
					
微信小程序解析webservice返回的xml格式数据

				
			

			

				

					m0_46674604的博客
				

				

					02-01
					
					1970
					
				

			

		

		

			
				
微信小程序使用xmldom工具包解析webservice返回的xml格式数据

			
		

	





	

		

			

				
					
微信支付 关于XML解析存在安全问题指引

				
			

			

				

					书写人生
				

				

					07-04
					
					5298
					
				

			

		

		

			
				
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,请务必检查是否对进行了防范。场景1:支付成功通知;场景2:退款成功通知;场景3:委托代扣签约、解约、扣款通知;场景4:车主解约通知...

			
		

	





	

		

			

				
					
java解决微信支付关于XML解析存在安全问题

				
			

			

				

					会飞的老王博客
				

				

					07-05
					
					5613
					
				

			

		

		

			
				
最近微信支付发了一条通知也就是微信支付暴露除了XXE漏洞  官方文档描述有限 在这里给出详细的微信支付代码关于这个漏洞结合官方sdk的解决方案首先创建XML解析工具类 官方SDK给出(主要是这个来阻止XXE)import org.w3c.dom.Document;

import javax.xml.XMLConstants;
import javax.xml.parsers.DocumentBu...

			
		

	





	

		

			

				
					
关于XML解析存在安全问题记录

				
			

			

				

					梦寻千古的博客
				

				

					07-17
					
					6841
					
				

			

		

		

			
				
前段时间被爆出微信支付sdk漏洞,吓得赶紧去项目里看了下微信的SDK(虽然没多少人使用),发现使用的微信sdk不是当前发布的最新的SDK,也就没有使用下面的DocumentBuilderFactory来解析xml,其实不仅是微信的SDK,所有使用xml的地方都需要注意。


DocumentBuilderFactory documentBuilderFactory = DocumentBuilde...

			
		

	





	

		

			

				
					
Xml实体注入漏洞的一些测试和总结

				
			

			

				

					Arno2013的专栏
				

				

					02-01
					
					6816
					
				

			

		

		

			
				
Xml实体注入漏洞的一些总结
1、 xml实体注入原理







<!--
引入外部DTD,也可以包含文件,不过并不能读取全部信息

-->



<!DOCTYPE root[



]>




&arno; is readed from read.txt
&boot; is readed from file 





&xxx;表示xxx是xml的一个实体,其值为xml内

			
		

	





	

		

			

				
					
微信支付 SDK 惊爆漏洞:黑客可 0 元购买任意商品

				
			

			

				

					CSDN资讯
				

				

					07-03
					
					6059
					
				

			

		

		

			
				
今天,国外安全社区 Seclists.Org 里一名白帽子披露了微信支付官方 SDK 存在严重的 XXE 漏洞,可导致商家服务器被入侵,且黑客可避开真实支付通道,用虚假的...

			
		

	





	

		

			

				
					
XML外部实体注入漏洞- XXE

				
			

			

				

					weixin_40230278的博客
				

				

					08-05
					
					862
					
				

			

		

		

			
				
XML外部实体注入漏洞- XXE

概览:

实验内容 
影响版本: 
漏洞介绍 
实验结果分析与总结 
修复方案



实验内容 
介绍XXE漏洞的触发方式和利用方法,简单介绍XXE漏洞的修复。

影响版本:

libxml2.8.0版本

漏洞介绍

XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体...

			
		

	





	

		

			

				
					
SpringMVC XML绑定POJO中的XXE漏洞解析

				
			

			

				

					
				

			

		

		

			
				
【资源摘要信息】: "本文档探讨了SpringMVC中XML绑定到POJO时可能出现的XXE(XML External Entity)漏洞,以及其背后的原理和安全风险。"  在SpringMVC框架中,当使用XML来绑定到Java对象(POJOs)时,如果不正确地...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值