微信支付存在漏洞，可导致商家服务器被入侵漏洞已复现

今日， 白帽匯安全研究院關注到國外安全社區公布微信支付官方SDK存在嚴重漏洞， 可導致商家服務器被入侵（繞過支付的效果）。 目前， 漏洞詳細信息以及攻擊方式已被公開， 影響范圍巨大（已確認陌陌、vivo因使用該SDK而存在該漏洞）， 建議用到JAVA SDK的商戶快速檢查并修復。

目前， 確認該漏洞（XXE漏洞）影響JAVA版本的SDK， 歷史上曾經也出現過PHP版本SDK存在同樣的漏洞。

什么是XML外部實體注入(XML External Entity， 簡稱XXE)？

當允許引用外部實體時， 通過構造惡意內容， 可導致讀取任意文件、執行系統命令、探測內網端口、攻擊內網網站等危害。

漏洞影響

此次漏洞可使攻擊者向通知URL 構建惡意有效payload，

以便根據需要竊取商家服務器的任何信息。 一旦攻擊者獲得商家的關鍵安全密鑰（md5-key和merchant-Id等）， 他甚至可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。 目前微信官方尚未對SDK進行修復。 現已有momo、vivo已經驗證被該漏洞影響。 微信支付被廣泛應用于各種支付場景。 目前， 該白帽子在沒有通知廠商的情況就對外公布， 至此， 官方還沒有發布相關補丁。 提醒廣大廠商檢查自己的系統， 及時進行修復， 防止帶來損失。

截止2018年07月03日16時， 微信官方還并未發布相關補丁。

漏洞利用

漏洞復現

目前， 白帽匯安全研究院已經通過本地復現此漏洞， 漏洞真實存在。 我們通過Burpsuite做簡單測試， 可以看到服務器已成功請求我們的遠程服務器。

這里還可進一步獲取服務器中數據， 甚至執行系統命令， 提升系統權限。

修復建議

用戶可使用開發語言提供的禁用外部實體的方法。 java禁用外部實體的代碼如下：