今日, 白帽匯安全研究院關注到國外安全社區公布微信支付官方SDK存在嚴重漏洞, 可導致商家服務器被入侵(繞過支付的效果)。 目前, 漏洞詳細信息以及攻擊方式已被公開, 影響范圍巨大(已確認陌陌、vivo因使用該SDK而存在該漏洞), 建議用到JAVA SDK的商戶快速檢查并修復。
目前, 確認該漏洞(XXE漏洞)影響JAVA版本的SDK, 歷史上曾經也出現過PHP版本SDK存在同樣的漏洞。
什么是XML外部實體注入(XML External Entity, 簡稱XXE)?
當允許引用外部實體時, 通過構造惡意內容, 可導致讀取任意文件、執行系統命令、探測內網端口、攻擊內網網站等危害。
漏洞影響
此次漏洞可使攻擊者向通知URL 構建惡意有效payload,
截止2018年07月03日16時, 微信官方還并未發布相關補丁。
漏洞利用
漏洞復現
目前, 白帽匯安全研究院已經通過本地復現此漏洞, 漏洞真實存在。 我們通過Burpsuite做簡單測試, 可以看到服務器已成功請求我們的遠程服務器。
修復建議
用戶可使用開發語言提供的禁用外部實體的方法。 java禁用外部實體的代碼如下: