php微信支付漏洞,微信支付sdk被曝xxe漏洞,漏洞原理分析

最新推荐文章于 2024-04-12 11:40:16 发布
最新推荐文章于 2024-04-12 11:40:16 发布
阅读量146 收藏
点赞数
文章标签: php微信支付漏洞

昨日在国外安全社区seclists有一个署名叫Rose Jackcode的白帽子公布了微信支付sdk的一个严重的安全漏洞(xxe漏洞)。攻击者可以伪造一个恶意的回调数据请求(xml格式),读取商户服务器上任意文件,甚至可以执行远程系统命令,导致商户服务器被入侵。

目前微信支付安全团队表示已对该SDK进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。

虽然微信支付官网上的sdk更新了,但是漏洞是存在于商户的网站系统中,需要商户下载最新的sdk对系统进行更新发布(或者看下面的自己修复方案)。因此目前还有大量的微信商户系统存在此漏洞,相关商户需要及时更新。

来看看该微信支付sdk漏洞如何造成的:

什么是xxe漏洞,xxe全称为XML External Entity attack,即XML外部实体漏洞。XML定义的外部实体可以载入本地或者远程的内容。

受影响版本: WxPayAPI_JAVA_v3.zip (之前版本的应该也受影响)

漏洞版本sdk中的README.md出示的例子:

String notifyData = "....";

MyConfig config = new MyConfig();

WXPay wxpay = new WXPay(config); //conver to map

Map notifyMap = WXPayUtil.xmlToMap(notifyData);

....

WXPayUtil里:

public static Map xmlToMap(String strXML) throws Exception {

Map data = new HashMap();

DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();

// 没有xxe防范

DocumentBuilder documentBuilder = documentBuilderFactory.newDocumentBuilder();

InputStream stream = new ByteArrayInputStream(strXML.getBytes( "UTF-8")); org.w3c.dom.Document doc = documentBuilder.parse(stream);

...

}

如何模拟利用此漏洞:

向商家回调的url中模拟post以下xml数据:

%hxt;

]>

http://attack:8080为攻击者自己搭建的服务器,在data.dtd中写上:

">

%shell;

%upload;

触发XXE攻击后,商家服务器会把/etc/的内容发送到攻击者的ftp://attack:33上。

不用最新版sdk修复方案:

方案1.

禁用外部实体,在WXPayUtil里

DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();

下面加上

documentBuilderFactory.setExpandEntityReferences(false);

方案2.

过滤用户提交的XML数据

关键词:!ENTITY,或者,SYSTEM和PUBLIC。

weixin_39689700
关注
java sdk 微信支付_Java 微信支付官方SDK源码(已修复XXE漏洞)
weixin_42393526的博客
02-26 485
【实例简介】WxPayAPI_JAVA,版本:java_sdk_v3.0.9 ,最后更新于:2018-07-04【实例截图】【核心代码】package com.github.wxpay.sdk;import com.github.wxpay.sdk.WXPayConstants.SignType;import java.util.HashMap;import java.util.Map;publi...
关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补
wtbapi的博客
07-06 5771
7月4日微信发来通知说存在XML实体注入漏洞,请修改。由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实...
此微信由于恶意攻击服务器,微信支付的JAVA SDK存在漏洞,可导致商家服务器被入侵(绕过支付)...
weixin_39727005的博客
08-03 245
今日,白帽汇安全研究院关注到国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵(绕过支付的效果)。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌、vivo因使用该SDK而存在该漏洞),建议用到JAVA SDK的商户快速检查并修复。目前,确认该漏洞(XXE漏洞)影响JAVA版本的SDK,历史上曾经也出现过PHP版本SDK存在同样的漏洞。什么是XML外部实体注入(...
微信支付XXE漏洞
qq_29308413的博客
10-23 1204
某个风和日丽的下午,突然收到领导的微信截图, 看到后虎躯一震,没遇到过o(╯□╰)o!!!!平复后使用无所不知的度娘XXE漏洞详情 XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),以下内容需要xml基础,再次不再科普。 众所周知,我们服务端获取微信支付回调结果的通知是通过读取流并转换成xml的形式, /** 支付成功后,微信回调返回...
php微信支付漏洞,微信支付SDK出重大漏洞XXE漏洞
weixin_29231027的博客
03-23 394
一、背景昨天(2018-07-04)微信支付SDK出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3二、漏洞原理1. XXE漏洞此次出的漏洞属于XXE漏...
微信支付xxe漏洞php,微信支付流程及其XXE漏洞
weixin_36237054的博客
04-01 522
0x00 概述7月4日,网上爆出微信支付sdk存在xxe漏洞,原因是商户用来获取微信支付结果的notify_url接口可以接受XML数据,而且未禁用外部实体,利用该漏洞可以读取支付服务器文件,甚至可能获取商户key实现0元支付。0x01 微信支付流程以微信公众号支付为例,其他支付方式大同小异基本流程:1.商户后台携带支付数据调用微信统一下单api:https://api.mch.weixin.qq...
php微信支付漏洞,微信支付官方紧急推送关于修复XXE漏洞提示,附修复方案
weixin_29797343的博客
03-23 175
昨天有一条关于微信支付0元购的消息在开发圈里炸开了锅,所谓0元购并不是用户抽奖,而是恶意攻击者利用漏洞实现0元支付。正常的支付基本流程是这样的:用户发起支付->调起微信支付->支付成功->微信支付服务器发送成功通知给应用(比如某个商城)服务端->应用服务端解析微信支付发送的通知->解析后的信息进行必要对比确认后更新订单为已付款状态。然而该漏洞,就是恶意利用解析过程,可...
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞
微信支付 Java SDK XXE 漏洞原因
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全的XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML...
WEB漏洞——XXE
最新发布
qq_63594215的博客
04-12 889
本次文章主要介绍XXE漏洞原理,利用以及防御的过程,另外还有介绍一点XML的基础知识,详情请见下文。a) xml,eXtensible Markup Language,可扩展标记语言,是一种标记语言,使用简单标记描述数据b) xml是一种非常灵活的语言,没有固定的标签,所有标签都可以自定义c) 通常,xml被用于信息的传递和记录,因此,xml经常被用于充当配置文件如果把HTML和XML进行对比的话,HTML进行对比的话,HTML旨在显示数据信息,而XML旨在用来进行数据的传输和存储。
解决微信支付XXE漏洞
chengshan0388的博客
10-14 300
解决微信支付XXE漏洞 近期腾讯打电话过来和运维说,公司的运营系统微信支付存在XXE漏洞,刚开始以为是什么难的问题,经过查资料原来是xml注入漏洞,腾讯也早有意识到这方面的问题,并且提供了解决方案:https://pay.weixin.qq.com/wiki/doc/api/m...
微信支付安全漏洞及签名错误
weixin_38319647的博客
07-03 1022
故事起因 漏洞详情https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5 导包,如果引入com.github.wxpay最高版本0.0.3 <dependency> <groupId>com.github.tedzhdz</groupId> ...
java 安全 支付_微信支付Java SDK XXE漏洞实战浅析
weixin_31068491的博客
02-16 705
微信支付SDK JAVA版今天出了XXE漏洞,主要原因是在使用DOM处理回传的XML格式的支付结果通知时,未禁用外部实体、参数实体、内联DTD等,导致存在XXE漏洞。0x01 原理分析作者原文分析提到在看微信支付JAVA SDK的说明文档时,发现了结果通知代码示例:import com.github.wxpay.sdk.WXPay;import com.github.wxpay.sdk.WXPa...
php微信支付漏洞,微信支付问题。我微信支付后台提示支付高危漏洞,不知道系统解决没有...
weixin_39585886的博客
03-23 259
关于XML解析存在的安全问题指引微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,请务必检查是否对进行了防范。场景1:支付成功通知;场景2:退款成功通知;场景3:委托代扣签约、解约...
微信支付SDK XXE漏洞 验证复现
u013224189的专栏
07-03 1万+
今天公司收到漏洞预警,微信支付SDK存在XXE漏洞,下载到本地验证了一下 漏洞信息来源 http://seclists.org/fulldisclosure/2018/Jul/3 https://xz.aliyun.com/t/2426 漏洞描述 微信支持提供了一个接口,供商家接收异步支付结果,微信支付所用的java sdk在处理结果时可能触发一个XXE漏洞,攻击者可以向这...
微信XXE安全漏洞处理(Java)
热门推荐
Umbrella Corporation
09-14 2万+
登录微信提供处理XXE安全漏洞页面 地址:https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5 原文如下: 最佳安全实践 关于XML解析存在的安全问题指引 微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁...
微信支付XXE漏洞修复解决办法
qq_26387907的博客
10-22 630
@tz 根据微信官方回复消息: 1、您更新的只是官方SDK的部分代码,没有完全更新,或者在SDK外还使用了XML的解析没有防XXE 2、您可能有多个回调地址,而你只修复了其中一个 3、您可能有多个服务器,你只发布了其中一台或者修改了没有正式发布 4、实际做xml解析的不是修改的地方 5、xml解析器和httpclient存在多个版本,有冲突,pom.xml可以查看jar版本号。 修改过程; pub...
PHP微信支付----xxe攻击
zhangzhangdan的博客
07-05 1412
这两天,微信支付有bug的消息迅速传播,那这个到底是什么导致的呢:微信支付后回调通知的xml文件中,被人恶意添加数据,导致返回信息不准确,微信有官方文档说明:点击打开链接我们项目用的是PHP作为开发语言,接到领导通知要我看看我们的项目有没有受影响,可是,这个支付功能是很久以前就写好的,而我才来不久,也没接触过微信支付的功能,心中已泪千行, 不知从何下手于是,就疯狂找资料,了解到,微信官方提出的解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值