對話企業(yè)家陶利——做企業(yè)靠 19年前,他是一個程序員,初出茅廬,經(jīng)驗不足,憑借一己之力闖世界;
省市領(lǐng)導(dǎo)蒞臨億恩科技推進電 12月22日上午,由河南省商務(wù)廳,鄭州市商務(wù)局有關(guān)領(lǐng)導(dǎo)蒞臨河南省億
怎樣選擇服務(wù)器托管商?如何 互聯(lián)網(wǎng)開展至今,服務(wù)器方面的受到越來越多人的注重,假如要停止服務(wù)器
近日國外安全社區(qū)公布微信支付官方SDK存在嚴(yán)重漏洞,可導(dǎo)致商家服務(wù)器被入侵,一旦攻擊者獲得商家的關(guān)鍵安全密鑰,就可以通過發(fā)送偽造信息來欺騙商家而無需付費購買任何東西。目前,漏洞詳細(xì)信息以及攻擊方式已被公開,影響范圍巨大,建議用到JAVA SDK的商戶快速檢查并修復(fù)。
漏洞細(xì)節(jié)
微信支付SDK JAVA版的XXE漏洞,主要存在于商家服務(wù)器端的支付結(jié)果回調(diào) URL 處。在該處使用DOM處理回傳的XML格式的支付結(jié)果通知時,未禁用外部實體、參數(shù)實體、內(nèi)聯(lián)DTD等,從而導(dǎo)致存在XXE漏洞。
風(fēng)險等級
360安全監(jiān)測與響應(yīng)中心風(fēng)險評級為:高危
預(yù)警等級:藍(lán)色預(yù)警(一般網(wǎng)絡(luò)安全預(yù)警)
處置建議
微信官方目前已經(jīng)修復(fù)了XXE漏洞。使用微信支付的企業(yè)用戶請盡快更新微信支付的 JAVA SDK 進行漏洞修復(fù)。
技術(shù)分析
微信支付 JAVA SDK 在WXPayUtil.java 中提供了 xmlToMap,用于將 XML 數(shù)據(jù)轉(zhuǎn)換為 Map 結(jié)構(gòu)。其內(nèi)部用到了 DocumentBuilderFactory 來以 DOM 方式解析 XML 數(shù)據(jù)。由于其允許外部實體解析,從而導(dǎo)致 XXE 漏洞。
目前,微信官方已通過禁止外部實體解析方式修復(fù)了該漏洞。如下圖: