【漏洞预警】微信支付SDK存在严重漏洞,可导致0元支付或商家服务器被黑

【漏洞预警】微信支付SDK存在严重漏洞,可导致0元支付或商家服务器被黑_第1张图片
XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。是一种针对使用XML交互的Web应用程序的攻击方法。

受影响版本:
JAVA SDK,WxPayAPI_JAVA_v3

微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,攻击者可以构造恶意的回调数据(XML格式)来窃取商家服务器上的任何信息。一旦攻击者获得了关键支付的安全密钥(md5-key和商家信息,将可以直接实现0元支付购买任何商品)。当XML允许引用外部实体时,黑客可以通过构造恶意XML实体文件,实现远程读取任意系统文件、远程执行系统命令等一系列危险操作,严重危害商家服务器的系统安全。

目前,微信官方尚未对SDK进行修复,但漏洞利用信息以及攻击方式已被公开,影响范围巨大(已经披露出的有陌陌、vivo确认存在该漏洞),建议用到微信支付JAVA SDK的企业立刻开展自查并关注微信官方安全通告。


【漏洞预警】微信支付SDK存在严重漏洞,可导致0元支付或商家服务器被黑_第2张图片

2018年7月2号,该漏洞在国外漏洞披露网站首次公布


国外漏洞披露网站公布的实际攻击案例:

【漏洞预警】微信支付SDK存在严重漏洞,可导致0元支付或商家服务器被黑_第3张图片

【漏洞预警】微信支付SDK存在严重漏洞,可导致0元支付或商家服务器被黑_第4张图片


青莲云安全团队会持续跟踪该漏洞进展,请厂家持续关注。


点击此处了解XXE漏洞详情


-------------------------------------------------------------------------


| More·延伸阅读 |

XXE漏洞的攻击原理与防范:https://security.tencent.com/index.php/blog/msg/69

你可能感兴趣的:(科技,XXE,微信,wechat,XXE漏洞)