微信支付的安全漏洞之XXE
2024-10-20 16:14:55
1.场景:国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵(绕过支付的效果)。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌、vivo因使用该SDK而存在该漏洞),建议用到JAVA SDK的商户快速检查并修复。
2.什么是XML外部实体注入(XML External Entity,简称XXE)?
当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
3.漏洞影响
此次漏洞可使攻击者向通知URL 构建恶意有效payload,以便根据需要窃取商家服务器的任何信息。一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),他甚至可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。目前微信官方尚未对SDK进行修复。现已有momo、vivo已经验证被该漏洞影响。微信支付被广泛应用于各种支付场景。目前,该白帽子在没有通知厂商的情况就对外公布,至此,官方还没有发布相关补丁。提醒广大厂商检查自己的系统,及时进行修复,防止带来损失。
4.修复建议
用户可使用开发语言提供的禁用外部实体的方法。java禁用外部实体的代码如下:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance;
dbf.setExpandEntityReferences(false);
最新文章
- 《Spark快速大数据分析》—— 第三章 RDD编程
- Cheatsheet: 2016 07.01 ~ 07.31
- ubuntu 15 安装cuda,开启GPU加速
- Codeforces Round #354 (Div. 2)-B
- mysql 日志
- Linux - 非阻塞socket编程处理EAGAIN错误
- [ActionScript 3.0] AS3 获取某年某月的天数(Get number of days in a month)
- crm 2011 plugin setparent setbusiness 用户更改经理 更改办事处
- dedecms手机站要同步pc站的图片
- 2016年VR&;AR有市场吗?
- MySQL学习笔记之数据存储类型
- 程序使用嵌套的for循环找出2〜100中的素数
- linux centos6 NAT 端口转发
- CICS定时
- SASS type-of 函数
- Silverlight 模板(Template)使用
- hadoop之MapReduce WordCount分析
- Mac OSX Sierra WiFi connecting problem
- SVG渐变
- ROS_Kinetic_13 ROS数据录制与回放