php微信支付漏洞,微信支付官方紧急推送关于修复XXE漏洞提示,附修复方案

最新推荐文章于 2022-03-21 14:16:06 发布
最新推荐文章于 2022-03-21 14:16:06 发布
阅读量153 收藏
点赞数
文章标签: php微信支付漏洞

昨天有一条关于微信支付0元购的消息在开发圈里炸开了锅,所谓0元购并不是用户抽奖,而是恶意攻击者利用漏洞实现0元支付。

正常的支付基本流程是这样的:用户发起支付->调起微信支付->支付成功->微信支付服务器发送成功通知给应用(比如某个商城)服务端->应用服务端解析微信支付发送的通知->解析后的信息进行必要对比确认后更新订单为已付款状态。

然而该漏洞,就是恶意利用解析过程,可以造成读任何文件、内网探测、命令执行等问题。

958250ce6a4931845b3cab3500936322.png

虽然这个问题是昨天火起来的,但实际上在前几天就有陆陆续续报道,只是昨天被更多人所知晓而已。比如早在7月1日在Full Disclosure有一篇名为《XXE in WeChat Pay Sdk ( WeChat leave a backdoor on merchant websites)》的文章指出这个问题。

5481dcb11c8a5f90c90d2f9adbf4bf50.png

然后昨天微信支付官方就向商户推送该漏洞提示:

62d8486a831560e80b457caefe2b1bf2.png

实际上该漏洞跟微信支付本身没什么太大关系,所以网上吃瓜群众就借此来吐槽微信支付安全性,这实在是两回事。这个漏洞其实就是很多开发者在对接微信支付的时候不严谨造成的,在解析微信支付异步通知推送的XML数据时造成漏洞的存在;此外造成很多吃瓜群众误解的原因是因为老版本的微信支付java版官方SDK存在该漏洞,而我看了一下php版的SDK,我这边能找到的是2015年的,里面已经在解析XML数据时禁止引用外部xml实体。

686959e8e3961a09e074f74d334d46e9.png

同时,在微信支付官方文档中的《最佳实践-最佳安全实践》中专门针对该问题添加了一部分文档,名为《关于XML解析存在的安全问题指引》,地址为:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5。该文档针对该问题做了相应的风险提示以及问题修复指南,同时还写了php、java、Python、.net等主流开发语言的设置指引。

据了解该问题影响面还是不小的,从已经报道的消息来看,其中不乏一些大商户、大厂商也存在该问题。不过你是商户还是开发者,结合自己实际来做相应处理哦。

陈小惜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php微信支付漏洞,微信支付的SDK曝出重大漏洞XXE漏洞
weixin_29231027的博客
03-23 367
一、背景昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3二、漏洞原理1. XXE漏洞此次曝出的漏洞属于XXE漏...
PHP微信支付----xxe攻击
zhangzhangdan的博客
07-05 1408
这两天,微信支付有bug的消息迅速传播,那这个到底是什么导致的呢:微信支付后回调通知的xml文件中,被人恶意添加数据,导致返回信息不准确,微信有官方文档说明:点击打开链接我们项目用的是PHP作为开发语言,接到领导通知要我看看我们的项目有没有受影响,可是,这个支付功能是很久以前就写好的,而我才来不久,也没接触过微信支付的功能,心中已泪千行, 不知从何下手于是,就疯狂找资料,了解到,微信官方提出的解决...
php微信支付漏洞,微信支付sdk被曝xxe漏洞漏洞原理分析
weixin_39689700的博客
03-23 120
昨日在国外安全社区seclists有一个署名叫Rose Jackcode的白帽子公布了微信支付sdk的一个严重的安全漏洞(xxe漏洞)。攻击者可以伪造一个恶意的回调数据请求(xml格式),读取商户服务器上任意文件,甚至可以执行远程系统命令,导致商户服务器被入侵。目前微信支付安全团队表示已对该SDK进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。虽然微信支付官网上的sdk更新了,但是漏洞是存...
在线支付漏洞
94小菜
01-07 933
修改单价、总价:改小、四舍五入支付、负数、金额上限溢出为0(名称:商品、快递费、其他费用) (场景:订购、确认信息、付款处) 修复建议:商品信息,如金额、折扣等原始数据的校验应来自于服务器端,不应接受客户端传递过来的值 修改数量:负数、多数(以一买多、俩商品一正一负) 修复建议:服务端应当考虑交易风险控制,对产生异常情况的交易行为(如用户积分数额为负值、兑换库存数量为 0 的商品等)应当直接予以限制、阻断,而非继续完成整个交易流 程 修改支付对应的商品/同款不同颜色:替换商品id (以低买高) 修改属的.
支付漏洞的三种常见类型
热门推荐
喵星人
05-19 1万+
根据乌云上的案例,支付漏洞一般可以分为三类:一是在支付过程中直接发送含有需支付金额的数据包;二是没有对购买数量进行限制;三是程序的异常处理。下面就和大家说说这三种情况。  一:支付过程中直接发送含有需支付金额的数据包(常见)  危害指数:星星星星星  这种案例非常常见,主要针对支付宝等需要第三方支付的案例。开发人员往往会为了方便,直接在支付的关键步骤数据包中直接传递需要支
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞
WEB安全之XXE实体注入漏洞.pdf
12-12
XXE漏洞详解】 XML(eXtensible Markup Language)是一种用于存储和传输数据的标记语言,它允许自定义标记并具有结构化的特点。在Web应用程序中,XML常用于数据交换和配置。然而,XML的这种灵活性也引入了安全...
eyoucms V1.0.4 后台任意文件读取漏洞1
08-03
为了修复这一漏洞,建议采取以下措施: 1. **增强输入验证**:对所有用户输入的数据进行全面的安全检查和过滤,避免直接使用未经验证的数据进行文件路径的构建。 2. **路径规范化**:使用路径规范化函数确保路径只...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
php微信漏洞,wecenter 3.1.9 /app/m/weixin.php 反序列化造成SQL注入漏洞
weixin_36234738的博客
03-25 326
wecenter 3.1.9 /app/m/weixin.php 文件中,对传入的参数反序列化后直接构造SQL语句进行查询,导致SQL注入漏洞漏洞文件:/app/m/weixin.php:110相关代码public function authorization_action(){$this->model('account')->logout();unset(AWS_APP::sessi...
微信支付遇到的大坑 WxpayAPI_php_v3
若水印象博客
09-21 4188
1、PHP7的问题 把PHP版本从5.3.3升级到7.1之后(操作系统版本CentOS 6.8, Apache 2.4),Web应用出现微信支付不能确认的问题。查看日志,发现微信支付回调程序报错:undefined index : HTTP_RAW_POST_DATA网上搜索了一下,知道了答案。在我们所引用的微信商户API的支付SDK(v3版本,下载下来的文件名为WxpayAPI_php_v3.z
谈谈微信支付曝出的漏洞
weixin_30739595的博客
07-05 404
一、背景 昨天(2018-07-04)微信支付的SDK曝出重大漏洞XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。 漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3 二、漏洞原理 1. XXE漏洞 ...
phpwechat的使用
陈羽
04-25 1821
目录结构: 对于开发者来说,根目录的 member、pc、wechat 三个文件夹尤其重要,他们是模块开发的容器。开发者开发的所有的模块均在以上3个文件夹中存放; 根目录的 include 文件夹包含了常用的公共类和函数文件,是系统的核心文件夹; 根目录的 statics 主要存放一些常用的Jquery类库、图片等静态文件; 根目录的 api 主要存放一些小插
网站安全测试之支付漏洞检测与修复
weixin_34236497的博客
05-31 1360
前几篇的网站安全检测的文章,介绍的都是跟验证码以及用户逻辑功能方面的安全测试与防攻击方法,今天给大家深度的来剖析一下关于网站里含有支付接口的安全漏洞。许多商城网站,以及微信支付网站,在线游戏平台,发卡商,棋牌等网站都含有支付功能,支付安全是整个网站中,安全占比较高的,支付安全出了问题,带来的可是无法估量的损失。 支付接口的安全漏洞 经常...
支付渠道被攻击了有什么好的办法吗?
xiaoyiandun的博客
03-21 869
随着移动支付广泛应用,很多人将支付宝或微信支付当做自己的第二个钱包。但是那么多资金放在移动支付平台上,安全吗? 最近在一档名为《智造将来》中,就特地让黑客攻击支付宝账户,通过WIFI和NFC读卡器窃取了他的手机号和银行卡号,并试图黑进这个账户,结果黑客攻击失败。 知乎一位名为“史中”的网友就提出了这样的解读。面对各种复杂的被攻击情况,支付宝会使用名为“AlphaRisk”的风控系统,可以根据你的设备、环境、使用习惯、账户关系等来判定你的交易安不安全。一旦发现出现资金风险,支付宝会要求使用者进行刷脸...
微信支付XXE漏洞修复解决办法
qq_26387907的博客
10-22 622
@tz 根据微信官方回复消息: 1、您更新的只是官方SDK的部分代码,没有完全更新,或者在SDK外还使用了XML的解析没有防XXE 2、您可能有多个回调地址,而你只修复了其中一个 3、您可能有多个服务器,你只发布了其中一台或者修改了没有正式发布 4、实际做xml解析的不是修改的地方 5、xml解析器和httpclient存在多个版本,有冲突,pom.xml可以查看jar版本号。 修改过程; pub...
微信支付XXE漏洞修复
zhangxing
07-05 6840
1.场景还原 近日,微信发来警告通知,告知平台微信支付可能存在XXE(外部实体注入漏洞),笔者根据微信官方技术文档及时修复了该漏洞,分享出来希望能够对大伙有所帮助2.原因分析 所谓的外部实体注入漏洞,主要是在xml转map的时候处理不得当造成的,所以接下来的修复工作主要在xml解析类中下功夫3.实现方案①原有的解析类@SuppressWarnings({ "unused", "rawtype...
005 - 马科维茨投资组合理论实现
最新发布
08-10
python基于tushare实现马科维茨投资组合理论实现
微信支付 Java SDK XXE 漏洞原因
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全的XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值