微信支付 关于XML解析存在的安全问题指引

最新推荐文章于 2024-07-18 15:19:39 发布
最新推荐文章于 2024-07-18 15:19:39 发布
阅读量5.3k 收藏 2
点赞数 1
分类专栏: 微信公众平台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yelin042/article/details/80913544
版权
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。

如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,请务必检查是否对进行了防范。

场景1:支付成功通知;
场景2:退款成功通知;
场景3:委托代扣签约、解约、扣款通知;
场景4:车主解约通知;

注:APP支付SDK不受影响。

检查及修复建议


1.如果您的后台系统使用了官方sdk,请更新sdk到最新版本 sdk的链接: https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1
2.如果您是有系统提供商,请联系提供商进行核查和升级修复;
3.如果您是自研系统,请联系技术部门按以下指引核查和修复:

XXE漏洞需要你在代码中进行相应的设置,不同语言设置的内容不同,下面提供了几种主流开发语言的设置指引:
【PHP】
libxml_disable_entity_loader(true);

【JAVA】
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
不同java组件修复方案不一样,请参考下文【附录】中获取更多帮助
【.Net】
XmlResolver = null;

【Python】
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

【c/c++(常用库为libxml2 libxerces-c)】

【libxml2】:  
确保关闭配置选项:XML_PARSE_NOENT 和 XML_PARSE_DTDLOAD
2.9版本以上已修复xxe

【libxerces-c】:
如果用的是XercesDOMParser:
XercesDOMParser *parser = new XercesDOMParser;
parser->setCreateEntityReferenceNodes(false);

如果是用SAXParser:
SAXParser* parser = new SAXParser;
parser->setDisableDefaultEntityResolution(true);

如果是用SAX2XMLReader:
SAX2XMLReader* reader = XMLReaderFactory::createXMLReader();
parser->setFeature(XMLUni::fgXercesDisableDefaultEntityResolution, true);

附录:更多开源库/语言版本的修复建议可参考:
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#C.2FC.2B.2B
东边的小山
关注
专栏目录
二、微信小程序调微信支付
张先森的博客
08-31 1038
微信小程序调微信支付
微信支付XML解析存在安全问题(XXE)--备忘录
木辰風的博客
07-05 1391
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。此漏洞可导致商家服务器被入侵,获得关键安全密钥后,骇客即可肆意买买买而不需要付一分钱。而这个问题主要存在于JAVA版本SDK中的实现存在一个xxe漏洞,攻击者可以向URL构建恶意payload,根据...
微信扫码支付--xml解析
bruceyongwen的博客
10-08 367
/** * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。 * @param strxml * @return * @throws JDOMException * @throws IOException */ public static Map doXMLParse(String strxml) throws JDOMException...
【网络安全渗透测试零基础入门必知必会】之XML外部实体注入(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
jennycisp的博客
07-18 1409
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段文件XXE渗透与防御第1篇。本文主要讲解XML外部实体注入XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
关于XML解析存在安全问题记录
梦寻千古的博客
07-17 6850
前段时间被爆出微信支付sdk漏洞,吓得赶紧去项目里看了下微信的SDK(虽然没多少人使用),发现使用的微信sdk不是当前发布的最新的SDK,也就没有使用下面的DocumentBuilderFactory来解析xml,其实不仅是微信的SDK,所有使用xml的地方都需要注意。 DocumentBuilderFactory documentBuilderFactory = DocumentBuilde...
JAVA科目二
oocharlesxx_test的博客
08-01 2814
科目二复习资料
Andorid微信刷脸支付使用过程解析
有点东西
09-24 8413
微信刷脸支付全部流程(普通商户号)1.微信开放平台中创建移动应用3.开发指引 | 微信刷脸支付4.刷脸支付流程名词解释时序图5.接口调用踩坑插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入...
Java开发实现微信小程序支付(微信支付
12程序猿的博客
08-30 1万+
目录一、前期准备工作1.申请小程序开发者账号并认证2.小程序开通微信支付3.开发指引4.到官方下载Java的支付SDK二、代码实现1.开发流程:2.实现步骤2.1 下单,生成待支付订单2.2 调用微信统一下单2.3 小程序发起微信支付3.后台业务逻辑涉及到的工具类及参数封装类3.1 WeChatPayDto3.2 WeChatPayUtil:微信支付工具类3.3 WXPayUtil、WxPayNotifyResponse3.4 HttpUtils工具类3.5 ErrorCode:返回码3.6 request
微信支付】退款及对账开发指南.pdf
09-10
数据格式部分,文档涵盖了GET和POST请求方式以及XML和字符串数据格式的使用,这是开发者构建请求和解析响应的关键。同时,数字签名的介绍确保了交易的安全性,通过签名原始串和特定的签名算法(如MD5)来验证请求和...
微信支付服务器繁忙,微信支付踩坑记录
weixin_31260665的博客
07-31 914
微信的支付文档写的是真的反人类,关键点都不带提的,强迫别人跟着前人一个坑接着一个坑踩;微信接口请求及返回的数据格式都是xml形式;大体流程服务器请求https://api.mch.weixin.qq.com/sandboxnew/pay/getsignkey,获取沙箱密钥,作为沙箱环境下的商户支付密钥(KEY),这步操作只在沙箱环境测试时才有服务器请求https://api.mch.weixin....
java解析xml及4种常用解析比较
02-16
1. 介绍 1)DOM(JAXP Crimson解析器) DOM是用与平台和语言无关的方式表示XML文档的官方W3C标准。DOM是以层次结构组织的节点或信息片断的集合。这个层次结构允许开发人员在树中寻找特定信息。分析该结构通常需要加载整个文档和构造层次结构,然后才能做任何工作。由于它是基于信息层次的,因而DOM被认为是基于树或基于对象的。DOM以及广义的基于树的处理具有几个优点。首先,由于树在内存中是持久的,因此可以修改它以便应用程序能对数据和结构作出更改。它还可以在任何时候在树中上下导航,而不是像SAX那样是一次性的处理。DOM使用起来也要简单得多。 2)SAX SAX处理的优点非常类似于流媒体的优点。分析能够立即开始,而不是等待所有的数据被处理。而且,由于应用程序只是在读取数据时检查数据,因此不需要将数据存储在内存中。这对于大型文档来说是个巨大的优点。事实上,应用程序甚至不必解析整个文档;它可以在某个条件得到满足时停止解析。一般来说,SAX还比它的替代者DOM快许多。 选择DOM还是选择SAX? 对于需要自己编写代码来处理XML文档的开发人员来说, 选择DOM还是SAX解析模型是一个非常重要的设计决策。 DOM采用建立树形结构的方式访问XML文档,而SAX采用的事件模型。 DOM解析器把XML文档转化为一个包含其内容的树,并可以对树进行遍历。用DOM解析模型的优点是编程容易,开发人员只需要调用建树的指令,然后利用navigation APIs访问所需的树节点来完成任务。可以很容易的添加和修改树中的元素。然而由于使用DOM解析器的时候需要处理整个XML文档,所以对性能和内存的要求比较高,尤其是遇到很大的XML文件的时候。由于它的遍历能力,DOM解析器常用于XML文档需要频繁的改变的服务中。 SAX解析器采用了基于事件的模型,它在解析XML文档的时候可以触发一系列的事件,当发现给定的tag的时候,它可以激活一个回调方法,告诉该方法制定的标签已经找到。SAX对内存的要求通常会比较低,因为它让开发人员自己来决定所要处理的tag.特别是当开发人员只需要处理文档中所包含的部分数据时,SAX这种扩展能力得到了更好的体现。但用SAX解析器的时候编码工作会比较困难,而且很难同时访问同一个文档中的多处不同数据。 3)JDOM http://www.jdom.org JDOM的目的是成为Java特定文档模型,它简化与XML的交互并且比使用DOM实现更快。由于是第一个Java特定模型,JDOM一直得到大力推广和促进。正在考虑通过“Java规范请求JSR-102”将它最终用作“Java标准扩展”。从2000年初就已经开始了JDOM开发。 JDOM与DOM主要有两方面不同。首先,JDOM仅使用具体类而不使用接口。这在某些方面简化了API,但是也限制了灵活性。第二,API大量使用了Collections类,简化了那些已经熟悉这些类的Java开发者的使用。 JDOM文档声明其目的是“使用20%(或更少)的精力解决80%(或更多)Java/XML问题”(根据学习曲线假定为20%)。JDOM对于大多数Java/XML应用程序来说当然是有用的,并且大多数开发者发现API比DOM容易理解得多。JDOM还包括对程序行为的相当广泛检查以防止用户做任何在XML中无意义的事。然而,它仍需要您充分理解XML以便做一些超出基本的工作(或者甚至理解某些情况下的错误)。这也许是比学习DOM或JDOM接口都更有意义的工作。
关于XML解析存在安全问题指引
蒋固金(jianggujin)的专栏
08-13 8210
最近一段时间被曝出的微信支付XML解析存在安全问题,主要问题XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。微信官方做了回应,原文地址:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 如...
Xml外部实体注入漏洞(XXE)与防护
xiaoyi52的专栏
09-12 2万+
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
微信支付之退款
热门推荐
shan1774965666的专栏
06-16 5万+
先吐槽下微信的文档和demo,重要的步骤信息没有强调清楚,.net的demo就没有跑成功过。 1.微信扫码登录 2.微信PC端支付 几经摸索才走通这个退款功能。下面介绍下微信支付退款功能的开发步骤: 一、下载证书并导入到系统 微信退款是需要证书的,这个证书不是官方demo中的证书,而是需要自己在微信商户平台中的api安全栏下载的证书,在官方的证书使用实例的一个word
xml实体解析安全风险_XML安全性,实现安全性层,第2部分
cuyi7076的博客
06-22 963
存档日期:2019年5月14日 | 首次发布:2003年10月30日 许多新兴技术,例如Web服务,广泛使用XML进行数据交换。 结果,在传输以及存储时,XML安全性具有非常重要的意义。 本系列探讨有助于使XML安全的技术。 第1部分介绍了XML安全性所需的基本管道技术。 本文基于此基础,涵盖了XML安全所需的核心技术-XML加密和XML签名。 它还通过使用这些技术来保护XML消息的逐步...
关于微信XML解析存在安全问题
weixin_34224941的博客
05-21 140
---恢复内容开始--- 前言: 最近微信官方提出:微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。 提出当存在调用支付接口时,存在下列场景时,得做代码防范: 场景1:支付成功通知;场景2:退款成功通知;场景3:委托代扣签约、解约、扣款通...
微信公众平台消息加解密
小人物的编程
12-22 1997
最近微信公众平台强烈推荐我们使用消息加密,即服务器采用安全模式, PHP的demo给了一对加密解密的例子,不是很清楚, 根据常用的php格式 其实加密方式很简单,代码如下 $postStr = file_get_contents ( "php://input" ); // 第三方发送消息给公众平台 $encodingAesKey = xxxxx;自己服务器信息里的密钥 $toke
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值