0元买!买!买!支付平台再曝漏洞,JAVA SDK存在XXE攻击|附解决方法

国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务器端系统的XML外部实体注入攻击。

一、漏洞情况分析

可扩展标记语言(XML,eXtensible Markup Language)用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型。XML具备在任何应用程序中进行数据读写的简单特性,使其很快成为数据交换的唯一公共语言,被广泛应用于第三支付平台与商户之间交换数据的格式定义。

XML语言标准支持与外部进行实体数据交换的特性。应用程序在解析XML输入时,没有禁止外部实体加载功能,会导致XML外部实体注入漏洞(XML External Entity Injection,XXE)。2018年7月2日,境外SecLists网站发布了微信支付JAVA软件工具开发包(SDK)存在XXE漏洞。利用该漏洞,攻击者可在使用信息泄露、扫描爆破等特殊手段获知商户的通知接口(callback)地址的前提下,发送恶意XML实体,在商户服务器上执行代码,实现对商户服务器的任意文件读取。如果攻击者进一步获得商家的关键安全密钥,就可能通过发送伪造信息实现零元支付。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

该漏洞影响商户服务器后台系统的安全,目前已知微信支付JAVA SDK7月3日之前发布的版本、陌陌和vivo商户系统受此漏洞影响。

陌陌公司、腾讯公司和vivo商户系统已分别于7月2日、7月3日、7月4日完成修复。

三、漏洞修复建议

建议第三方支付平台对本公司开发的SDK工具进行自查,发现安全隐患请及时通知下属商户,及时消除漏洞攻击威胁。

1、腾讯公司已发布JAVA SDK修复版本,建议商户及时更新至最新版本:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1

2、用户可使用开发语言提供的禁用外部实体的方法,JAVA禁用外部实体的代码如下:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

3、过滤用户侧提交的XML数据

过滤关键词:DOCTYPE、ENTITY、SYSTEM、PUBLIC。

附:参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-12508

http://seclists.org/fulldisclosure/2018/Jul/3

本文分享自微信公众号 - BestSDK(bestsdk)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-07-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

RubyMiner挖矿程序24小时内影响全球30%的网络

近日,Check Point 的安全研究人员发现了 RubyMiner 恶意软件家族,针对全球的 web 服务器发起攻击,并试图利用这些服务器挖掘门罗币。24 ...

24880
来自专栏Seebug漏洞平台

创建简单、免费的恶意软件分析环境

原文:https://www.malwaretech.com/2017/11/creating-a-simple-free-malware-analysis-e...

42490
来自专栏云鼎实验室的专栏

WannaCry 勒索病毒数据恢复指引

受 WannaCry 勒索病毒影响,许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件。我们在13号媒体采访时提到,可使用数据恢复软件通...

5.3K10
来自专栏FreeBuf

深度剖析幽灵电子书 | 一双窥视安全人员的无形之眼

0x01 事件经过 2016年2月26日,一个网络安全相关的QQ群内,一名用户分享了一份名为“网络安全宝典.chm”的电子书供大家下载,瑞星网络安全工程师Bfi...

20970
来自专栏Python中文社区

基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员发现了一个新的 Linux 加密僵尸网络,并将其命名为"PyCryptoMiner",它主要的攻击目标是具有公开 SSH...

37850
来自专栏FreeBuf

安卓现新的木马病毒,可模仿用户点击下载危险的恶意软件

安卓用户正面临一个新的威胁,威胁来自于一个模仿Adobe Flash Player的恶意APP,名为Android/TrojanDownloader.Agent...

47080
来自专栏FreeBuf

GPON Home Router家庭光纤网关设备漏洞技术分析

什么是GPON终端?PON终端,俗称“ 光猫”,作用类似于大家所熟悉的ADSL Modem,是光纤到户家庭需备的网络设备。根据不同的技术和标准,PON 又为分为...

17030
来自专栏FreeBuf

地下暗流系列 |“免费雇佣”数十万用户,TigerEyeing病毒云控推广上千应用

一、概要 近期,腾讯反诈骗实验室和移动安全实验室通过自研AI引擎—TRP,从海量样本中监测到一个后门病毒家族TigerEyeing,据腾讯反诈骗实验室和移动安全...

235100
来自专栏Seebug漏洞平台

创建简单、免费的恶意软件分析环境

原文地址:Creating a Simple Free Malware Analysis Environment

42960
来自专栏鹅厂网事

谁动了我的域名

昨天小编邀请了我们负责域名解析的好伙伴---廖伟健为我们分享了域名相关的内容,惊闻昨晚两家知名企业域名解析突发故障,今天我们再次请到廖伟健给我们分析一下! 一...

45150

扫码关注云+社区

领取腾讯云代金券