微信支付XML外部实体注入安全漏洞(XXE的攻击)

于 2024-05-29 22:07:37 发布
阅读量324 收藏 5
点赞数 10
文章标签: 微信 xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaiqidundun/article/details/139306805
版权

文章目录

概要

` 商户接收回调通知URL对应的程序代码,如果不遵循安全规范,将会有XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。

攻击流程

XXE的攻击原理:
外界攻击者通过模拟回调通知,在回调通知中引入不安全的XML,即可在商户服务器上执行系统命令。
攻击示意图

漏洞危害

外界攻击者可读取商户服务器上的任意文件;执行系统命令;探测内网端口;攻击内网网站。商户可能出现资金损失的情况,所以请贵司重视,必须修复漏洞。

案例

需检查统一下单接口中传的notify_url参数,排查该URL对应的程序代码是否有XXE漏洞。
在这里插入图片描述

修复

` XXE漏洞的修复方法,是在解析XML之前加入禁用实体解析的代码。

码儿盹盹骑
关注
微信XXE安全漏洞处理(Java)
Umbrella Corporation
09-14 2万+
登录微信提供处理XXE安全漏洞页面 地址:https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5 原文如下: 最佳安全实践 关于XML解析存在的安全问题指引 微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁...
XXE(外部实体注入漏洞)
dinghuan2011的专栏
09-11 3903
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/zhangxing52077/article/details/80932730 1.场景还原    近日,微信发来警告通知,告知平台微信支付可能存在XXE(外部实体注入漏洞),笔者根据微信官方技术文档及时修复了该漏洞,分享出来希望能够对大伙有所帮助 2.原因分析   所谓的外部实体注入漏洞,主...
微信支付sdk被曝xxe漏洞漏洞原理分析
weixin_33752045的博客
06-15 554
2019独角兽企业重金招聘Python工程师标准>>> ...
微信支付XXE漏洞
qq_29308413的博客
10-23 1204
某个风和日丽的下午,突然收到领导的微信截图, 看到后虎躯一震,没遇到过o(╯□╰)o!!!!平复后使用无所不知的度娘XXE漏洞详情 XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),以下内容需要xml基础,再次不再科普。 众所周知,我们服务端获取微信支付回调结果的通知是通过读取流并转换成xml的形式, /** 支付成功后,微信回调返回...
微信支付xxe漏洞php,微信支付流程及其XXE漏洞
weixin_36237054的博客
04-01 522
0x00 概述7月4日,网上爆出微信支付sdk存在xxe漏洞,原因是商户用来获取微信支付结果的notify_url接口可以接受XML数据,而且未禁用外部实体,利用该漏洞可以读取支付服务器文件,甚至可能获取商户key实现0元支付。0x01 微信支付流程以微信公众号支付为例,其他支付方式大同小异基本流程:1.商户后台携带支付数据调用微信统一下单api:https://api.mch.weixin.qq...
php微信支付漏洞,微信支付的SDK曝出重大漏洞XXE漏洞
weixin_29231027的博客
03-23 394
一、背景昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3二、漏洞原理1. XXE漏洞此次曝出的漏洞属于XXE漏...
xxe-xml外部实体注入
nigo134的博客
07-27 2979
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
DOM解析之DOM防护-XXE(外部实体注入漏洞)
就写一行代码
11-20 1270
最新的项目被微信告知一个漏洞需要解决,说是“XML外部实体注入漏洞” 也就是说 涉及微信回调解析xml的过程需要补充一个防止外部实体注入的代码,以下以DOM为例。 具体代码如下: 这个是一个公共的方法 用来解析之前加入xml防护 package com.net.pay.wxpay.util; import java.io.IOException; import javax.xml...
XXE外部实体注入漏洞总结
www_xuhss_com的博客
02-20 4251
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 XXE 漏洞原理 XXExml外部实体注入漏洞,应用程序解析xml输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取,命令执行,内网端口扫描攻击内网网站等危害。 漏洞危害 1. 读取敏感文件。 2. 执行ssrf漏洞,进行内网端口探测,攻击内网网站
XXE(XML External Entity attack)XML外部实体注入攻击
xiaoi123的博客
08-15 2189
导语   XXEXML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。   尽管XXE漏洞已经...
关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补
wtbapi的博客
07-06 5771
7月4日微信发来通知说存在XML实体注入漏洞,请修改。由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实...
微信XXE漏洞复现
xuechangchun007的专栏
07-10 2175
7月4号微信SDK曝出漏洞,现在回现漏洞出现的过程,以下方式用JAVA 的SpringBoot实现。强调:只是技术研究,不准用于非法途径。熟悉了这些漏洞才能让系统更健壮有两个工程,一个是模拟商户端的server,有一个支持微信回调的接口;一个是攻击方的server,有一个可以接收请求的方法。创建一个商家的springboot工程,端口8080配置springboot可以访问静态文件,pom.xml...
微信支付XML解析存在的安全问题(XXE)--备忘录
木辰風的博客
07-05 1390
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。此漏洞可导致商家服务器被入侵,获得关键安全密钥后,骇客即可肆意买买买而不需要付一分钱。而这个问题主要存在于JAVA版本SDK中的实现存在一个xxe漏洞攻击者可以向URL构建恶意payload,根据...
解决微信支付XXE漏洞
chengshan0388的博客
10-14 300
解决微信支付XXE漏洞 近期腾讯打电话过来和运维说,公司的运营系统微信支付存在XXE漏洞,刚开始以为是什么难的问题,经过查资料原来是xml注入漏洞,腾讯也早有意识到这方面的问题,并且提供了解决方案:https://pay.weixin.qq.com/wiki/doc/api/m...
微信支付XXE漏洞修复
zhangxing
07-05 6849
1.场景还原 近日,微信发来警告通知,告知平台微信支付可能存在XXE(外部实体注入漏洞),笔者根据微信官方技术文档及时修复了该漏洞,分享出来希望能够对大伙有所帮助2.原因分析 所谓的外部实体注入漏洞,主要是在xml转map的时候处理不得当造成的,所以接下来的修复工作主要在xml解析类中下功夫3.实现方案①原有的解析类@SuppressWarnings({ "unused", "rawtype...
微信支付SDK XXE漏洞 验证复现
u013224189的专栏
07-03 1万+
今天公司收到漏洞预警,微信支付SDK存在XXE漏洞,下载到本地验证了一下 漏洞信息来源 http://seclists.org/fulldisclosure/2018/Jul/3 https://xz.aliyun.com/t/2426 漏洞描述 微信支持提供了一个接口,供商家接收异步支付结果,微信支付所用的java sdk在处理结果时可能触发一个XXE漏洞攻击者可以向这...
XXE漏洞以及Blind XXE总结
热门推荐
Exploit的小站~
05-10 5万+
 转载请注明出处:http://blog.csdn.net/u011721501 0、前言 XXE漏洞是针对使用XML交互的Web应用程序的攻击方法,在XEE漏洞的基础上,发展出了BlindXXE漏洞。目前来看,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVGheader)应用比较广泛,此外,网上有一些在线XML格式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值