谈谈微信支付曝出的漏洞

最新推荐文章于 2025-02-25 10:57:05 发布
最新推荐文章于 2025-02-25 10:57:05 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 面试题.程序员感悟 分享经验 性能优化 漏洞 微信支付
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoliboke/article/details/80927359
版权

一、背景

        昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。

        漏洞报告地址:

http://seclists.org/fulldisclosure/2018/Jul/3

二、漏洞原理

1.  XXE漏洞

        此次曝出的漏洞属于XXE漏洞,即XML外部实体注入(XML External Entity Injection)。

        XML文档除了可以包含声明和元素以外,还可以包含文档类型定义(即DTD);如下图所示。

        在DTD中,可以引进实体,在解析XML时,实体将会被替换成相应的引用内容。该实体可以由外部引入(支持http、ftp等协议,后文以http为例说明),如果通过该外部实体进行攻击,就是XXE攻击。

        可以说,XXE漏洞之所以能够存在,本质上在于在解析XML的时候,可以与外部进行通信;当XML文档可以由攻击者任意构造时,攻击便成为可能。在利用XXE漏洞可以做的事情当中,最常见最容易实现的,便是读取服务器的信息,包括目录结构、文件内容等;本次微信支付爆出的漏洞便属于这一种。

 

2.  微信支付漏洞

最低0.47元/天 解锁文章
微信支付的技术问题之我见——写在微信支付支付惊天漏洞之际
howellzhu的专栏
07-04 1万+
其实这边文章很早就想发布了,但是一直没有进行润色,怕措辞不当引起不必要的误会。但是今天突然就闪电般爆微信支付漏洞,问题在SDK身上,这些还是比较麻烦的,所有的客户端更新可不像服务器部署一下那么简单。不管怎样,先把这边笔记贴来大家参考下。1. 流程设计问题APP支付对比支付宝支付就可以知道,微信支付多了一个预付款的服务器流程,就是商户服务器向微信支付服务器申请PrepayID的过程。其实这...
从360首席科学家到区块链创业者,苦钻代码、强迫自己看白皮书,原来这个圈子都是这么努力的 | 人物志...
区块链大本营
07-12 6979
在区块链的创业圈,人们对青年才俊偶像派、改变世界理想派以及发达致富现实派从来不陌生,他们有的是新人,有的是老兵,通常都怀着高尚的「比特币信仰」和对自己能力的自信粉墨登场。...
微信网页版抓包分析
最新发布
Haite13的博客
02-25 762
微信抓包
支付系统会碰到的漏洞问题。
weixin_34303897的博客
05-29 181
一个支付系统的有两个部分构成 提供一个支付URL 通知支付成功 提供一个URL最常见有两大类 后台请求 前台请求 a.拼接一个Url地址 b.构建一个自动提交的Form 通知支付成功 简称回调URL回调URL配置 a 在支付接口哪边配置 b 在发起请求的时候配置。 一般是后台线程请求商家的一个Url 把参数和加密信息传过来, 商家对 加密信息效验成功就表示...
微信支付安全漏洞
CSDN新星计划JAVA赛道TOP5、CSDN内容合伙人、JAVA领域优质创作者、资深JAVA开发深耕JAVA领域。
07-04 1192
7月1日,在老牌漏洞披露平台Full Disclosure现了一封写给微信支付的公开信。发件人是Rose Jackcode,信的标题是《微信支付官方SDK的XXE安全漏洞微信支付在商户页面遗留了一个后门)》。发表在漏洞披露平台Full Disclosure上的公开信 发件人Rose Jackcode在信中称,他在微信支付官方SDK(软件工具开发包)发现了一个安全漏洞,此漏洞可导致商家服务器被入...
20年时候收集的一些信息安全岗面试题
课嗨教育的专栏
05-02 8086
目录 面试一 面试二 面试三 更多资料可:渗透测试基础课-课程进度_课嗨教育的博客-CSDN博客 面试一 个人介绍: 自我介绍要点:不要用长逻辑句,短小精悍 控制在3-4分钟 1、自我介绍姓名年龄哪里人学校情况不是重点,作为顺滑开场 2、经历与技能啥时候开始学web攻防,实习经历(神舟,做了什么;尚然,做了什么),让人家清楚历史引入技术主题,挑重点 3、业绩/成绩: 研究类:freebuff SRC I春秋...
微信支付SDK XXE漏洞 验证复现
热门推荐
u013224189的专栏
07-03 1万+
今天公司收到漏洞预警,微信支付SDK存在XXE漏洞,下载到本地验证了一下 漏洞信息来源 http://seclists.org/fulldisclosure/2018/Jul/3 https://xz.aliyun.com/t/2426 漏洞描述 微信支持提供了一个接口,供商家接收异步支付结果,微信支付所用的java sdk在处理结果时可能触发一个XXE漏洞,攻击者可以向这...
黑客利用漏洞从美国政府支付系统获利170万美元
mozhe_的博客
12-21 534
Click2Gov是美国各地政府用以接收从公共事业账单、税收、罚款等费用的支付门户系统。它由Superion开发,该公司已于2018年7月与其他公司合并成立一家名为CentralSquare Technologies的新公司。根据Risk Based Security,大约600到6,000个Click2Gov的安装记录。 自投入使用以来,Click2Gov显然为人们带来了诸多便利,然而由于它与...
简单的支付漏洞案例、密码修改逻辑漏洞案例
dasdasdasvsdV的博客
07-21 3071
把id修改成2,密码修改成999;此操作通过低权限用户也可以实现,存在垂直越权漏洞。同时,该网站也存在旧密码教研不严格的问题。选择webug这张表,查看用户名和密码。密码 root toor。
记一次支付逻辑漏洞挖掘和支付逻辑漏洞原理及修复
weixin_63560942的博客
03-15 2133
支付逻辑漏洞是一种高危漏洞,攻击者可以利用该漏洞用比实际更便宜的价格进行购物,甚至是零元购。支付逻辑漏洞属于危害极高的漏洞,利用者将面临法律风险,因此,发现此类漏洞要尽快上报。支付逻辑漏洞可以用修改支付价格,修改支付状态,修改订单数量,修改优惠卷价格等等姿势达成支付逻辑漏洞发现及验证,这类漏洞在小网站还是比较多的,欢迎大家一起挖掘,共同进步。
支付类漏洞挖掘技巧总结
黑战士的博客
04-05 1229
支付类逻辑漏洞漏洞挖掘中是常常现的问题之一。此类漏洞挖掘思路多,奖励高,是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。
抖音抓包支付页面达到微信、支付宝三方接口支付
qq_25541217的博客
08-08 8334
抖音抓包支付页面达到微信、支付宝三方接口支付
移动应用数据安全问题列举
securitypaper的博客
07-03 916
隐私政策是移动应用运营者告知用户个人信息收集规则的主要途径。移动应用应在用户首次注册、登录移动应用时以弹窗、超链接等明显方式提醒用户阅读隐私政策,明示告知用户收集使用个人信息的目的、方式、范围,使用户充分了解其个人信息如何被收集、存储、使用、传输、共享、销毁。部分移动应用存在用户首次登录时要求用户默示“打勾”同意隐私政策(即未要求用户主动打勾同意),导致隐私政策难以起到告知和真正具有法律效力的“同意”作用,存在违规收集个人数据行为。除了前面的默认打勾的违规行为,还包括如:通过“登录/注册即表示同意隐私政策”
拼多多app抓包之代码实现
super19911115的博客
09-01 1万+
拼多多app抓包之代码实现 使用charles抓包 操作app后发现,刚打开app时可以抓到零散的数据包,后续的操作无法正常抓包 分析客户端代码 通过jeb打开apk分析获知,核心通信包位于 com.xunmeng.basiccomponent.titan.api下,经过对其代码分析得结论:普通抓包工具charles、findler无法捕获相应包的根本原因在于,其采用了长连接,因此,需要阻止其使用长连接,才能抓包。 代码实现 只需关闭长连接选项即可: ApiNetChannelSelector.getIn
抓包抖音充值页面实现微信支付宝充值抖币,可提供api
hou973561160的博客
03-19 4708
抖币充值系统重写升级: 1.支持配置扫码配置多个CK 2.支持生成 微信/支付宝 支付二维码 扫码充值 3.支持 微信/支付宝 APP 直接唤醒充值
Android微信支付源码学习指南
标题中的“android微信支付源码”指的是专为Android平台编写的微信支付功能的源代码。微信支付是腾讯公司推的一种移动支付服务,它允许用户通过手机在互联网上进行支付,广泛应用于线上购物、线下消费、转账、缴费...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值