此微信由于恶意攻击服务器,微信支付存在漏洞，可导致商家服务器被入侵【漏洞已复现】...

今日&＃xff0c;白帽汇安全研究院关注到国外安全社区公布微信支付官方SDK存在严重漏洞&＃xff0c;可导致商家服务器被入侵(绕过支付的效果)。目前&＃xff0c;漏洞详细信息以及攻击方式已被公开&＃xff0c;影响范围巨大(已确认陌陌、vivo因使用该SDK而存在该漏洞)&＃xff0c;建议用到JAVA SDK的商户快速检查并修复。

目前&＃xff0c;确认该漏洞(XXE漏洞)影响JAVA版本的SDK&＃xff0c;历史上曾经也出现过PHP版本SDK存在同样的漏洞。

什么是XML外部实体注入(XML External Entity&＃xff0c;简称XXE)&＃xff1f;

当允许引用外部实体时&＃xff0c;通过构造恶意内容&＃xff0c;可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

漏洞影响

此次漏洞可使攻击者向通知URL 构建恶意有效payload&＃xff0c;以便根据需要窃取商家服务器的任何信息。一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等)&＃xff0c;他甚至可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。目前微信官方尚未对SDK进行修复。现已有momo、vivo已经验证被该漏洞影响。微信支付被广泛应用于各种支付场景。目前&＃xff0c;该白帽子在没有通知厂商的情况就对外公布&＃xff0c;至此&＃xff0c;官方还没有发布相关补丁。提醒广大厂商检查自己的系统&＃xff0c;及时进行修复&＃xff0c;防止带来损失。

截止2018年07月03日16时&＃xff0c;微信官方还并未发布相关补丁。

漏洞利用

漏洞复现

目前&＃xff0c;白帽汇安全研究院已经通过本地复现此漏洞&＃xff0c;漏洞真实存在。我们通过Burpsuite做简单测试&＃xff0c;可以看到服务器已成功请求我们的远程服务器。这里还可进一步获取服务器中数据&＃xff0c;甚至执行系统命令&＃xff0c;提升系统权限。

以下为使用微信支付JAVA SDK所构造的漏洞代码&＃xff0c;只要使用WXPayUtil.xmlToMap方法&＃xff0c;且传入的数据可控&＃xff0c;就会造成该漏洞。漏洞示例代码如下&＃xff1a;

修复建议

用户可使用开发语言提供的禁用外部实体的方法。java禁用外部实体的代码如下&＃xff1a;

DocumentBuilderFactory dbf &＃61;DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);

补充&＃xff1a;

根据发布国外发布的内容&＃xff0c;猜测漏洞报告者可能是中国人。在其发布的内容中明确使用了中文的标点符号。

白帽汇安全研究院会持续跟踪该漏洞&＃xff0c;请后续持续关注本链接。

参考&＃xff1a;

[1] https://twitter.com/codeshtool

[2] http://seclists.org/fulldisclosure/2018/Jul/3

如转载请注明出处&＃xff0c;并注明来源地址。谢谢&＃xff01;

本文地址:https://nosec.org/home/detail/1678.html

出处&＃xff1a;https://nosec.org(NOSEC安全讯息平台)