从最近的微信支付看XXE漏洞

先说下写这篇文章的初衷吧,最近微信支付java_sdk刚爆发了一次xxe漏洞,然后领导赶快用自家的静态代码审计工具做了审计(这里我就不报名字,本来可以帮公司推广下产品是很好的,但我怕本文过于基础会被各位大佬喷出翔来,到时候有辱“司”门就真是罪过罪过了)。

发现能成功找出漏洞点,如下图。

到目前本来是件极好的事情,但是发现使用自己规则修复后依然能扫描出漏洞,这就很能说明问题,于是老大让我对微信支付漏洞做漏洞研究并找出产品出问题的原因。所以才有了这篇文章。由于本文的初衷是为了改进产品,所以本文并不是为了深入研究xxe漏洞,更加适合开发人员看。

微信支付的sdk中提供了WXPayUtil这个工具类,该类中实现了xmltoMap和maptoXml这两个方法,而这次的微信支付的xxe漏洞爆发点就在xmltoMap方法中。

该方法是为了将xml格式的字符串strXML转化为map。由于strXML可由攻击者控制,且程序未作任何防护措施(如禁止引用外部实体;过滤关键字符串等),导致恶意攻击者可利用外部实体注入读取服务器上的文件。当攻击者获取支付加密所用的安全密匙后,完全可以实现0元支付商品。

这里先以微信sdk中的xmlToMap方法为例,复现该xxe漏洞。(由于要完整的实现微信零元支付,需要写比较完整的程序对接微信支付接口,比较耗时间,暂时先不做)。

出现问题的代码是:

DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();org.w3c.dom.Document doc = documentBuilder.parse(stream);

生成documentBuilderFactory后直接去解析流。

构造xml格式的字符串如下:

<?xml version='1.0' encoding='utf-8'?><!DOCTYPE xdsec [<!ELEMENT methodname ANY><!ENTITY xxe SYSTEM 'file:///c:/windows/win.ini'>]><methodcall><methodname>&xxe;</methodname></methodcall>

这样mapToXml中DOM解析器解析该字符串时,会访问外部实体中的SYSTEM属性中标识的URL,并将读取的文件内容放入methodccall节点中。然后取出放入map中(实际场景中map中的值最后会被攻击者所获取,我们这里以在控制台输出为例),能成功读取系统文件。

一、完全禁用DTDs,生成documentBuilderFactory后对feature进行设置

documentBuilderFactory.setFeature(“http://apache.org/xml/features/disallow-doctype-decl“,true);

效果如下:

程序会报错,提示将该属性设为true。

二、生成documentBuilderFactory后对feature进行设置

documentBuilderFactory.setXIncludeAware(false);          documentBuilderFactory.setExpandEntityReferences(false);                                        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities",false);                                 documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);

效果如下:

程序虽然不会报错,但是已经读取不出系统文件中的内容了。

三、对关键词做过滤,如ENTITY、 DOCTYPE

对以上三种防范方式做分析:推荐使用第一种,能处理掉绝大多数的xxe漏洞;当有需求不能全部禁用掉DTD时,使用第二种方法;不建议使用第三种方法,如果不然很容易被绕过,如使用ENTIENTITYTY等等情况来绕过。

微信支付sdk中使用的是原生的dom解析xml,接下里分别复现使用原生SAX解析xml、使用dom4j解析xml、使用jdom解析xml这三种实现方式的xxe漏洞以及修复方法(修复原理是一样的,方法都类似的,但为了方便之后产品规则的完善,这里全部列举出来)

使用原生SAX解析xml

问题在于生成SAXParserFactory后直接去解析xml了,修复方法添加属性

sf.setFeature(“http://apache.org/xml/features/disallow-doctype-decl“,true);

效果如下:

使用dom4j解析xml:

SAXReader reader  = new SAXReader();InputStream stream = new ByteArrayInputStream(strXML.getBytes("UTF-8"));Document doc = reader.read(stream);

修复方法:

reader.setFeature(“http://apache.org/xml/features/disallow-doctype-decl“,true);

效果如下:

使用Jdom解析xml

SAXBuilder  builder = new SAXBuilder();Document doc = builder.build(stream);

修复方法如下:

builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);

效果如下:

最后是对SkyJava审计WxPayAPI结果的分析:

SkyJava是报了两个xxe漏洞,分别是WXpayUtil.java中的mapToXml和xmlToMap这两个方法。其中这次的微信支付xxe漏洞爆发点是在xmlToMap,所以两个中一个是正确的一个是误报。先分析误报:

该方法是实现将map中的键值对取出后生成xml的节点,并将其放在根节点中,像这种情况,就算map是受攻击者控制的,生成xml的时候也不会构造出外部实体的引入。其实xxe漏洞都是解析的时候出现问题,单单只是生成有问题的xml,并不能确定是否存在xxe漏洞,关键还是得看程序去解析它的时候是否有安全措施(如上面所说的添加禁止外部实体引入的属性等)。

对于该种误报我的建议是:不能仅仅因为没有设置安全属性就判断存在漏洞,尽量是先判断存在解析xml的情况下再根据

  1. 是否有设置安全属性
  2. Source是否安全

来判断是否存在漏洞。(感觉不是很好实现,以上两段话主观性比较强,仅做参考…..)

再说下SkyJava报的另外一个点,爆发点确定的是正确的。

但头说修复之后还是会报xxe漏洞,所以我看了下修复之后的方法。

修复的方法中将http://javax.xml.XMLConstants/feature/secure-processing属性设为true。在本地测试效果如下,发现并不能防御xxe漏洞,所以不建议使用该方法。

再看官方微信支付sdk修复这个xxe漏洞之后的方法是怎么样的

是使用了一个专门的xml工具类来生成DocumentBuilder

该类中设置了一些安全属性,应该是微信支付为了保险起见吧,同时采用我上面所说的修复方法一和二(毕竟没有绝对的安全)。但在SkyJava的规则上,我认为审计的时候只要采举了其中的一种就可以认为不存在xxe漏洞,如果规则上认为两种措施都用才算不存在漏洞的话可能会导致误报率较高(毕竟很多程序都只采用第一种方法防范xxe)。

最后,我还是想说我第一次在FreeBuf上发表文章,望各位大佬站在培养新人的点上,轻喷轻喷!

*本文作者:路上路人路过,属于FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-07-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯Bugly的专栏

内存泄露从入门到精通三部曲之排查方法篇

1 最原始的内存泄露测试 重复多次操作关键的可疑的路径,从内存监控工具中观察内存曲线,是否存在不断上升的趋势且不会在程序返回时明显回落。 这种方式可以发现最基本...

427140
来自专栏逻辑熊猫带你玩Python

Linux | 从自助开始

help命令是一个非常实用但是用处不大的一个命令。你可以用来获得一些信息,但是得不到所有的信息。

14520
来自专栏技术墨客

Nodejs学习笔记(1)——安装nodejs

    关于大名鼎鼎的Nodejs是什么就不用再介绍了,他的牛逼之处数都数不完——让javascript称霸全宇宙、将一个只用于前端的编程语言同时可以制霸前后端...

10920
来自专栏Albert陈凯

2018-08-05 3W+字长文深度总结|程序员面试题精华版集合(内附思维导图)!Java Web学习路径Java编程所需的工具及知识JVM的基本结构SSH框架设计模式之间的关系

原文地址:https://juejin.im/entry/5b6259036fb9a04fa42fce3c

15110
来自专栏JavaEdge

项目开发中正确的打日志姿势ERROR:WARNINFO:TRACE

使用slf4j 使用门面模式的日志框架,有利于维护和各个类的日志处理方式统一。 实现方式统一使用: Logback框架 打日志的正确方式 什么时候应该打...

7020
来自专栏烂笔头

在Python应用中使用MongoDB

目录[-] Python是开发社区中用于许多不同类型应用的强大编程语言。很多人都知道它是可以处理几乎任何任务的灵活语言。因此,在Python应用中需要一个...

44340
来自专栏更流畅、简洁的软件开发方式

【自然框架】之通用权限(六):权限到节点

      “直率没有错,但是也要考虑对方的承受能力呀!对方都承受不了了,你还直率,那就是你的错了!”  ——我的名言,呵呵。     ===========...

19950
来自专栏坚毅的PHP

进程、线程、轻量级进程、协程和go中的Goroutine 那些事儿

电话面试被问到go的协程,曾经的军伟也问到过我协程。虽然用python时候在Eurasia和eventlet里了解过协程,但自己对协程的概念也就是轻量级线程,还...

50930
来自专栏移动端周边技术扩展

拜占庭容错算法

PBFT是一种状态机副本复制算法,即服务作为状态机进行建模,状态机在分布式系统的不同节点进行副本复制。每个状态机的副本都保存了服务的状态,同时也实现了服务的操作...

19330
来自专栏高性能服务器开发

从零学习开源项目系列(三) CSBattleMgr服务源码研究

如上图所示,这篇文章我们将介绍CSBattleMgr的情况,但是我们不会去研究这个服务器的特别细节的东西(这些细节我们将在后面的文章中介绍)。阅读一个未知的项目...

18430

扫码关注云+社区

领取腾讯云代金券