搜尋結果
2019年9月18日 · 昨日在国外安全社区seclists有一个署名叫Rose Jackcode的白帽子公布了微信支付sdk的一个严重的安全漏洞 (xxe漏洞)。 攻击者可以伪造一个恶意的回调数据请求 (xml格式),读取商户服务器上任意文件,甚至可以执行远程系统命令,导致商户服务器被入侵。 目前微信支付安全团队表示已对该SDK进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。 虽然微信支付官网上的sdk更新了,但是漏洞是存在于商户的网站系统中,需要商户下载最新的sdk对系统进行更新发布(或者看下面的自己修复方案)。 因此目前还有大量的微信商户系统存在此漏洞,相关商户需要及时更新。 来看看该微信支付sdk漏洞如何造成的:
2018年7月8日 · 微信支付的sdk中提供了WXPayUtil这个工具类,该类中实现了xmltoMap和maptoXml这两个方法,而这次的微信支付的xxe漏洞爆发点就在xmltoMap方法中。 该方法是为了将xml格式的字符串strXML转化为map。 由于strXML可由攻击者控制,且程序未作任何防护措施(如禁止引用外部实体;过滤关键字符串等),导致恶意攻击者可利用外部实体注入读取服务器上的文件。 当攻击者获取支付加密所用的安全密匙后,完全可以实现0元支付商品。 这里先以微信sdk中的xmlToMap方法为例,复现该xxe漏洞。 (由于要完整的实现微信零元支付,需要写比较完整的程序对接微信支付接口,比较耗时间,暂时先不做)。 出现问题的代码是:
2018年7月4日 · 微信支付漏洞. 本次漏洞影响的范围是:在微信支付异步回调接口中,使用微信支付SDK进行XML解析的应用。 注意这里的SDK是服务器端的SDK,APP端使用SDK并不受影响。 SDK下载地址如下(目前微信官方宣传漏洞已修复): https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip. SDK中导致漏洞的代码是WXPayUtil工具类中的xmlToMap ()方法: 如上图所示,由于在解析XML时没有对外部实体的访问做任何限制,如果攻击者恶意构造xml请求,便可以对服务器进行攻击。 下面通过实例介绍攻击的方法。 3. 攻击复现. 下面在本机环境下进行复现。
根据微信公告信息,此次漏洞影响的是:在微信支付异步回调接口中,使用微信支付 SDK(JAVA版)进行XML解析的应用。 因此,受影响的SDK指服务器端,并不包括用户APP端。 也就是说: 1、作为消费者,支付功能完全不受影响. 此次漏洞不会影响到咱们的支付安全,该买买买还是继续买买买。 另外,商户服务器上存储的消费者信息,可能会被攻击者窃取,所以通过这个漏洞,可能会暴露消费者的部分隐私。 说到微信的支付安全,这里补充一个小知识,平时用微信支付买东西时,只需要点开“收付款”,然后让售货员扫一扫就可以完成付款了。 值得注意的是: 页面上有一行“查看付款码数字”按钮,切忌不要把付款码提供给任何人,一旦泄露,别人将直接使用付款码进行收款 。 2、作为商家,需要自纠自查.
本次漏洞影响的范围是:在微信支付异步回调接口中,使用微信支付SDK进行XML解析的应用。 注意这里的SDK是服务器端的SDK,APP端使用SDK并不受影响。 SDK下载地址如下(目前微信官方宣传漏洞已修复): https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip. SDK中导致漏洞的代码是WXPayUtil工具类中的xmlToMap ()方法: 如上图所示,由于在解析XML时没有对外部实体的访问做任何限制,如果攻击者恶意构造xml请求,便可以对服务器进行攻击。 下面通过实例介绍攻击的方法。 3.攻击复现. 下面在本机环境下进行复现。
2018年7月4日 · 漏洞预警 | 微信支付SDK存在XXE漏洞. 0x01 漏洞概要. 漏洞的始发是在seclists.org上的. XXE in WeChat Pay Sdk ( WeChat leave a backdoor on merchant websites) 看描述挺吓人的,微信wechat的SDK有XXE漏洞(微信在商家的网站留了后门)。 报漏洞是好事,但是不要“搞事情”啊,好好写标题不行么:) 但是仔细看的话,出问题的是是在JAVASDK中WXPayUtil.java中. # java-sdk-v3\src\main\java\com\github\wxpay\sdk\WXPayUtil.java.
2018年7月4日 · 针对近日被网友爆出的微信支付安全漏洞问题,腾讯方面回复36氪称,微信支付技术安全团队第一时间关注及排查,并已对官方网站上受影响的服务器端SDK漏洞进行更新,修复了已知的安全漏洞,并已提醒商户及时更新。 腾讯方面还解释,本次漏洞本质为商户自身服务器后台系统中存在XML外部实体注入漏洞 (简称 XXE)。...
2018年7月5日 · 使用有漏洞的Java版本微信支付SDK进行支付交易的商家网站可能受此漏洞影响。 目前,微信官方已经发布补丁修复该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。 一、漏洞介绍. 微信支付官方SDK是微信支付官方的软件工具开发包,在使用微信支付时,商家需要向微信提供一个URL用来接收异步支付结果的通知,该接口接受XML格式的数据。 XML语言标准支持了与外部进行实体数据交换的特性,如果程序在解析XML时没有限制或关闭该特性,同时外部又可以传入有恶意代码的XML数据就会触发漏洞。 微信支付官方提供的SDK由于编码遗漏,未关闭该XML特性。 商家在其系统中如果使用该版本SDK,系统便会受漏洞影响。
2018年7月3日 · XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。. 是一种针对使用XML交互的Web应用程序的攻击方法。. 受影响版本:. JAVA SDK,WxPayAPI_JAVA_v3. 微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款 ...
2018年7月5日 · 今天突然接到微信支付的通知,紧急修复XXE漏洞。 虽然已经工作多年但是对网络安全仅仅使了解皮毛,要想修复漏洞就要先搞清楚漏洞的基本执行原理。 1、XXE的背景. XML External Entity attack 简称XXE,XML外部实体攻击。 是利用 XML标准中外部通用解析实体的概念。 在解析XML文档时,解析器通过 ENTITY 扩展的功能,读取本地受保护的文件。 并且使用扩展功能将受保护的文件发送到远程地址。 从 维基百科 上看, OWASP 在2017年才把XXE漏洞列入十大网络安全风险,排名第4位。 但是该漏洞被发现的时间应该是在2014年之前,并且期间并没有引起我们重视(只少我是在微信支付的提醒下才开始了解的)。 概念有点绕,下面是代码。 2、XXE攻击步骤.
