V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
quu
V2EX  ›  信息安全

微信支付 sdk 漏洞预警-高危 [知安]

  •  
  •   quu · 2018-07-03 13:59:01 +08:00 · 3835 次点击
    这是一个创建于 2335 天前的主题,其中的信息可能已经有所发展或是发生改变。

    漏洞:微信支付 sdk xml 实体注入

    等级:高危

    细节:

    基于微信支付的应用需提供回调地址用于接收异步付款结果,微信支付 sdk for java 的版本中存在 xml 实体注入攻击漏洞,攻击者通过构造恶意 payload 可以读取服务器上应用信息。一旦攻击者获取 app_token 等秘钥信息。攻击者可利用获取的秘钥信息伪造支付请求实现零元支付。

    修复方案:等待微信官方升级方案或临时添加 waf 规则

    来源:

    http://seclists.org/fulldisclosure/2018/Jul/3

    本地验证截图:

    https://mmbiz.qpic.cn/mmbiz_png/QXXss1uwYn8o5B3cueIe9ybzvDheiaiagtbGQvwL6goibfh5UUe4eFFVgpKp5DL1p7rfVHtaLDbDW3wQVkTNpue9w/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1

    3 条回复    2018-07-03 17:15:55 +08:00
    quu
        1
    quu  
    OP
       2018-07-03 14:58:54 +08:00
    这是什么鬼?很多人点击,就是没互动,哈哈。

    sdk for java 有问题,其它自查吧,另外 Wordpress ≤ 4.9.6 也去升级最新,有个任意文件删除。
    hcymk2
        2
    hcymk2  
       2018-07-03 15:28:14 +08:00
    wxpay 官方的提供 最新的 PHPSDK 没问题。有 libxml_disable_entity_loader(true)
    xj90512
        3
    xj90512  
       2018-07-03 17:15:55 +08:00
    @quu 现在关注点都在这个白帽子是否是中国人,而不是这个漏洞本身了,哈哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2720 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 04:01 · PVG 12:01 · LAX 20:01 · JFK 23:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.