概要
` 商户接收回调通知URL对应的程序代码,如果不遵循安全规范,将会有XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。
攻击流程
XXE的攻击原理:
外界攻击者通过模拟回调通知,在回调通知中引入不安全的XML,即可在商户服务器上执行系统命令。
漏洞危害
外界攻击者可读取商户服务器上的任意文件;执行系统命令;探测内网端口;攻击内网网站。商户可能出现资金损失的情况,所以请贵司重视,必须修复漏洞。
案例
需检查统一下单接口中传的notify_url参数,排查该URL对应的程序代码是否有XXE漏洞。
修复
` XXE漏洞的修复方法,是在解析XML之前加入禁用实体解析的代码。