java 安全 支付_微信支付Java SDK XXE漏洞实战浅析

最新推荐文章于 2024-05-08 11:22:31 发布
最新推荐文章于 2024-05-08 11:22:31 发布
阅读量679 收藏 1
点赞数
文章标签: java 安全 支付
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31068491/article/details/114221955
版权

微信支付SDK JAVA版今天曝出了XXE漏洞,主要原因是在使用DOM处理回传的XML格式的支付结果通知时,未禁用外部实体、参数实体、内联DTD等,导致存在XXE漏洞。

0x01 原理分析

作者原文分析提到在看微信支付JAVA SDK的说明文档时,发现了结果通知代码示例:

import com.github.wxpay.sdk.WXPay;

import com.github.wxpay.sdk.WXPayUtil;

import java.util.Map;

public class WXPayExample {

public static void main(String[] args) throws Exception {

String notifyData = "...."; // 支付结果通知的xml格式数据

MyConfig config = new MyConfig();

WXPay wxpay = new WXPay(config);

Map notifyMap = WXPayUtil.xmlToMap(notifyData); // 转换成map

if (wxpay.isPayResultNotifySignatureValid(notifyMap)) {

// 签名正确

// 进行处理。

// 注意特殊情况:订单已经退款,但收到了支付结果成功的通知,不应把商户侧订单状态从退款改成支付成功

}

else {

// 签名错误,如果数据里没有sign字段,也认为是签名错误

}

}

}

其中notifyData是攻击者可控的,再看微信支付JAVA SDK中的WXPayUtil.xmlToMap()方法,代码片段如下:

public class WXPayUtil {

/**

* XML格式字符串转换为Map

*

* @param strXML XML字符串

* @return XML数据转换后的Map

* @throws Exception

*/

public static Map xmlToMap(String strXML) throws Exception {

try {

Map data = new HashMap();

DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();

//未使用setFeature()方法来禁用外部实体、参数实体、内联DTD等。

DocumentBuilder documentBuilder = documentBuilder

最低0.47元/天 解锁文章
xi li
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞
XXE blind 简单poc & 读文件
3569
03-27 3143
原理简介: https://blog.csdn.net/u011721501/article/details/43775691 首先你要确定是xml格式的数据,content-type是xml,PHP和JAVA利用有点不一样 PHP 利用方式 读取文件POC 利用: 自己vps放置 xxe.xml <!ENTITY % payload SYSTEM "php://fil...
php微信支付漏洞,微信支付SDK曝出重大漏洞XXE漏洞
weixin_29231027的博客
03-23 365
一、背景昨天(2018-07-04)微信支付SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3二、漏洞原理1. XXE漏洞此次曝出的漏洞属于XXE漏...
支付宝移动支付安卓与Javaweb服务端的实现,更安全
最新发布
yjqdn82212的博客
05-08 598
1.注册企业账号;2.创建应用 ;3.配置应用 ;4.开启支付APP支付 ;5.签约,在支付宝开放平台中跟着步骤走就可以完成的操作,为对接做准备工作。6.去管理中心得到应用的APPID;7.用支付宝开放平台开发助手生成一一对密钥,分别是应用公钥和私钥8.用应用公钥去生成支付宝公钥,如图,点击 设置公钥9.填写异步通知URL;然后就可以开始做服务端和客户端的开发啦!4.服务端的实现对于怎么才能得到APPID。首先你得是企业账号才能接入支付支付,因为还要签约的。在这里想说明一下,很多人都分不清私钥和公钥到底要
微信支付xxe漏洞php,微信支付流程及其XXE漏洞
weixin_36237054的博客
04-01 499
0x00 概述7月4日,网上爆出微信支付sdk存在xxe漏洞,原因是商户用来获取微信支付结果的notify_url接口可以接受XML数据,而且未禁用外部实体,利用该漏洞可以读取支付服务器文件,甚至可能获取商户key实现0元支付。0x01 微信支付流程以微信公众号支付为例,其他支付方式大同小异基本流程:1.商户后台携带支付数据调用微信统一下单api:https://api.mch.weixin.qq...
文件读取 xxe_漏洞笔记|记一次与XXE漏洞的爱恨纠缠
weixin_31641077的博客
01-15 411
0x01背景:kaiputenku大佬最近在挖洞的时候偶遇一枚XXE漏洞,身经百战的他经过一番爱恨纠缠,终将她顺利拿下~0x02纠缠一番只为她-Blind OOB XXE: 在测试某系统的某查询功能模块如下:查询模块.jpg(请各位大佬自行脑补)下面即将开始kaiputenku的表演:首先使用burp抓包,发现提交xml形式的数据包,很容易想到可能存在XML外部实体注入...
通过 Realtek SDK 漏洞攻击一窥 IoT 供应链威胁
m0_61869253的博客
08-27 1200
CVE-2021-35394 漏洞于 2021 年 8 月 16 日被公开披露,由于许多 IoT 设备厂商都使用 Realtek芯片组,该远程命令执行漏洞是一个典型的供应链安全问题。在野存活量较大的易受攻击设备与厂商如下所示:易受攻击的设备数量根据在野攻击情况,一共有以下三种类型的 Payload:① 执行 Shell 命令,连接恶意 IP 地址并自动下载执行恶意软件,主要是 Mirai 恶意软件:Payload② 直接将二进制 Payload 写入文件并执行:Payload。
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用是 Web 应用程序安全中的一种常见的攻击方式。攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。因此,防止 XXE 漏洞的发生是非常重要的。
WEB安全XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
基于XXE漏洞的网络安全分析与利用工具开发
05-07
当应用是通过用户上传的XML文件或POST请求进行数唱的传输,并日应用没有禁止XNML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞,即XXE漏洞XXE漏洞发生在应用程序解析XML输入时,...
微信支付sdk被曝xxe漏洞漏洞原理分析
weixin_33752045的博客
06-15 549
2019独角兽企业重金招聘Python工程师标准>>> ...
SDK的一些安全测试
Python_0011的博客
06-01 1557
在android应用开过过程中,SDK是android应用中不可缺少的一部分,通过集成各种第三方的SDK可以减少APP应用开发的工作量。但是在APP应用中集成各种第三方SDK可能存在各种安全的风险,除了一些基础的安全问题还有一些致命的异常崩溃的安全问题,通过验证测试分析sdk安全风险尽可能规避安全风险。SDK可能存在的安全风险包括:这些安全风险不仅包括会出现sdk中可能存在代码漏洞,这会促使APP应用容易受到攻击;第三方SDK没有在维护更新或无法使用;使用第三方免费SDK可能存在知识产权的问题。
php微信支付漏洞,微信支付问题。我微信支付后台提示支付高危漏洞,不知道系统解决没有...
weixin_39585886的博客
03-23 248
关于XML解析存在的安全问题指引微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,请务必检查是否对进行了防范。场景1:支付成功通知;场景2:退款成功通知;场景3:委托代扣签约、解约...
java解决微信支付关于XML解析存在的安全问题
会飞的老王博客
07-05 5605
最近微信支付发了一条通知也就是微信支付暴露除了XXE漏洞  官方文档描述有限 在这里给出详细的微信支付代码关于这个漏洞结合官方sdk的解决方案首先创建XML解析工具类 官方SDK给出(主要是这个来阻止XXE)import org.w3c.dom.Document; import javax.xml.XMLConstants; import javax.xml.parsers.DocumentBu...
微信支付XXE漏洞
qq_29308413的博客
10-23 1193
某个风和日丽的下午,突然收到领导的微信截图, 看到后虎躯一震,没遇到过o(╯□╰)o!!!!平复后使用无所不知的度娘XXE漏洞详情 XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),以下内容需要xml基础,再次不再科普。 众所周知,我们服务端获取微信支付回调结果的通知是通过读取流并转换成xml的形式, /** 支付成功后,微信回调返回...
微信支付 SDK 惊现重大漏洞:黑客可 0 元购买任意商品
代码技巧
07-04 2847
程序猿(ID:imkuqin) 整编综合自:http://seclists.org/fulldisclosure/2018/Jul/3、https://twitter.c...
二、支付安全(证书秘钥签名)
M_Love_U的博客
05-31 1003
目录二、支付安全(证书/秘钥/签名)1、信息安全的基础 - 机密性2、对称加密和非对称加密3、身份认证4、摘要算法(Digest Algorithm)5、数字签名6、数字证书7、微信APIv3证书8、API密钥和APIv3密钥9、其余思考补充点算法题:神秘代码其他说明写在后面 二、支付安全(证书/秘钥/签名) 1、信息安全的基础 - 机密性 明文: 加密前的消息叫“明文”(plain text) 密文: 加密后的文本叫“密文”(cipher text) 密钥: 只有掌握特殊“钥匙”的人,才能对加密的文本进行
XML解析文件出错解决方法
weixin_34261739的博客
02-28 933
     在解析xml时,经常因为文件中含特殊字符而解析失败。原因有两个:一是内容中含有XML预定义好的实体,二是内容中含有低位非打印字符。      1.内容中含有xml预定好的实体,如“&lt;”和“&amp;”,对xml来说是禁止使用的,针对这种字符,解决方式是使用CDATA部件以"&lt;![CDATA[" 标记开始,以"]]&gt;"标记结束,是CDATA内部内容被解析器忽略。具体说明...
微信支付 Java SDK XXE 漏洞原因
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全的XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值