安天移动安全应急响应中心：微信支付SDK曝高危漏洞

本次披露的漏洞为服务器侧漏洞，该漏洞可导致商家服务器被入侵，且攻击者可避开真实支付通道，用虚假的支付通知来“购买”任意商品。目前，漏洞详情以及攻击方式已被公开，由于其利用成本很低，因而极易被攻击者利用。

该漏洞对支付行业的影响

众所周知，微信支付是目前国内主流的移动支付方式之一，因此绝大部分支付后台均接入了微信支付功能。而通过分析可知，由于该漏洞属于服务器侧漏洞，因此将直接影响整个支付后台系统。漏洞一旦被利用，会直接导致支付后台数据被窃取，造成重大隐私数据泄露。而攻击者则可利用窃取到的关键数据信息，轻易进行伪造交易等攻击，对支付业务造成极大危害。

漏洞解析

什么是XXE漏洞 ？

XXE漏洞即XML External Entity Injection（XML外部实体注入），一般外界统称为XXE。是一种容易被忽视，却危害巨大的漏洞。

它利用 XML外部实体加载注入，执行不可预控的代码，从而实现读取任意文件、执行系统命令、探测内网端口、攻击内网网站等目的，具有极大危害性。

XXE漏洞的原理是什么？

然而在实际设计中，这个支付结果通知并不需要服务端验证该通知是否来自微信支付服务，因为通知中含有可验证的签名，第三者不可能构造签名，除非掌握商家的关键安全信息（mch_id和md5-key）。但是，在解析这个结果通知的XML的过程中，微信Java版本的SDK没有禁用“XML 外部实体加载”的机制，这就导致攻击者可以向接受通知的URL中构造恶意的XML数据，利用XXE漏洞，窃取商家服务器上的任何数据信息。一旦攻击者窃取到商家的关键安全信息，就可以通过发送伪造的支付完成信息来欺骗商家，而无需付费购买任意商品，线下的中小商户将因此蒙受巨大的损失。

解决方案

安天移动安全专家建议从排查和修复两方面入手，支付后台系统运营方，就当前接入微信支付SDK的支付后台系统进行漏洞专项排查，明确当前支付后台是否存在该漏洞；同时对于确认存在该漏洞的支付后台，进行相应的威胁处理，对漏洞进行修复。安天移动安全将为有需求的产业链合作伙伴提供免费漏洞检测和修复服务，帮助支付后台系统运营方处置该漏洞威胁。

透过该漏洞的爆发，我们可以看到，无论研发实力多么强大，风险防范意识多么强烈，安全隐患依然固执地存在，甚至会导致集成支付后台的核心业务受到威胁。

在以开放为趋势的信息化、网联化、智能化的发展进程中，势必带来新的安全挑战，安全问题也将不再是一个单点封闭的问题，而应该更加着眼于生态安全的建设，依靠生态链各方，明确彼此承担的安全职责，携手共建安全有序的发展环境。如此，不负时代赋予我们每个安全人的使命。