搜尋結果
2019年9月18日 · 昨日在国外安全社区seclists有一个署名叫Rose Jackcode的白帽子公布了微信支付sdk的一个严重的安全漏洞 (xxe漏洞)。 攻击者可以伪造一个恶意的回调数据请求 (xml格式),读取商户服务器上任意文件,甚至可以执行远程系统命令,导致商户服务器被入侵。 目前微信支付安全团队表示已对该SDK进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。 虽然微信支付官网上的sdk更新了,但是漏洞是存在于商户的网站系统中,需要商户下载最新的sdk对系统进行更新发布(或者看下面的自己修复方案)。 因此目前还有大量的微信商户系统存在此漏洞,相关商户需要及时更新。 来看看该微信支付sdk漏洞如何造成的:
2018年7月8日 · 微信支付的sdk中提供了WXPayUtil这个工具类,该类中实现了xmltoMap和maptoXml这两个方法,而这次的微信支付的xxe漏洞爆发点就在xmltoMap方法中。 该方法是为了将xml格式的字符串strXML转化为map。 由于strXML可由攻击者控制,且程序未作任何防护措施(如禁止引用外部实体;过滤关键字符串等),导致恶意攻击者可利用外部实体注入读取服务器上的文件。 当攻击者获取支付加密所用的安全密匙后,完全可以实现0元支付商品。 这里先以微信sdk中的xmlToMap方法为例,复现该xxe漏洞。 (由于要完整的实现微信零元支付,需要写比较完整的程序对接微信支付接口,比较耗时间,暂时先不做)。 出现问题的代码是:
2023年8月18日 · 系统漏洞检测及修复 - 通用规则 | 微信支付商户文档中心. 更新时间:2023.08.18. 系统漏洞包括操作系统本身的安全漏洞,以及运行在操作系统纸上的应用程序(例如Apache、Nginx、MySQL)的安全漏洞。 对于部署在腾讯服务器上的开发者应用,腾讯后台将对腾讯服务器进行安全漏洞扫描,可检测出包括Apache、Nginx、MySQL等的常见安全漏洞。 下面是漏洞的定义,检测方法以及修复方案。 1. Apache. 1.1 UserDir漏洞. 名称 :Apache UserDir 漏洞. 描述 :早期版本的Apache默认会开启UserDir,这个无关功能会泄露主机的账户名,也可能由于配置不当导致敏感文件被下载。
2018年7月4日 · 漏洞预警 | 微信支付SDK存在XXE漏洞. 0x01 漏洞概要. 漏洞的始发是在seclists.org上的. XXE in WeChat Pay Sdk ( WeChat leave a backdoor on merchant websites) 看描述挺吓人的,微信wechat的SDK有XXE漏洞(微信在商家的网站留了后门)。 报漏洞是好事,但是不要“搞事情”啊,好好写标题不行么:) 但是仔细看的话,出问题的是是在JAVASDK中WXPayUtil.java中. # java-sdk-v3\src\main\java\com\github\wxpay\sdk\WXPayUtil.java.
根据微信公告信息,此次漏洞影响的是:在微信支付异步回调接口中,使用微信支付 SDK(JAVA版)进行XML解析的应用。 因此,受影响的SDK指服务器端,并不包括用户APP端。 也就是说: 1、作为消费者,支付功能完全不受影响. 此次漏洞不会影响到咱们的支付安全,该买买买还是继续买买买。 另外,商户服务器上存储的消费者信息,可能会被攻击者窃取,所以通过这个漏洞,可能会暴露消费者的部分隐私。 说到微信的支付安全,这里补充一个小知识,平时用微信支付买东西时,只需要点开“收付款”,然后让售货员扫一扫就可以完成付款了。 值得注意的是: 页面上有一行“查看付款码数字”按钮,切忌不要把付款码提供给任何人,一旦泄露,别人将直接使用付款码进行收款 。 2、作为商家,需要自纠自查.
2018年7月4日 · 微信支付漏洞. 本次漏洞影响的范围是:在微信支付异步回调接口中,使用微信支付SDK进行XML解析的应用。 注意这里的SDK是服务器端的SDK,APP端使用SDK并不受影响。 SDK下载地址如下(目前微信官方宣传漏洞已修复): https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip. SDK中导致漏洞的代码是WXPayUtil工具类中的xmlToMap ()方法: 如上图所示,由于在解析XML时没有对外部实体的访问做任何限制,如果攻击者恶意构造xml请求,便可以对服务器进行攻击。 下面通过实例介绍攻击的方法。 3. 攻击复现. 下面在本机环境下进行复现。
2023年8月18日 · 最新安全漏洞及修复 - 通用规则 | 微信支付商户文档中心. 更新时间:2023.08.18. 1. phpmyadmin非官方版本被添加web后门漏洞. 【漏洞发现时间】: 2012年09月. 【攻击原理】: phpmyadmin的官方分站被黑客攻击并在源代码包中增加了web后门,黑客可以通过连接该后门直接获取用户网站的管理权限,进一步攻击服务器甚至渗透内网。 【检测方法】:通过计算文件的hash值是否与官方网站提供的hash一致来判断。 Phpmyadmin3.5.2.2的官方下载文件hash值列表参考: http://www.phpmyadmin.net/home_page/downloads.php.
