首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
拉勾
V2EX  ›  信息安全

微信支付 sdk 漏洞预警-高危 [知安]

  •  
  •   quu · 260 天前 · 1289 次点击
    这是一个创建于 260 天前的主题,其中的信息可能已经有所发展或是发生改变。

    漏洞:微信支付 sdk xml 实体注入

    等级:高危

    细节:

    基于微信支付的应用需提供回调地址用于接收异步付款结果,微信支付 sdk for java 的版本中存在 xml 实体注入攻击漏洞,攻击者通过构造恶意 payload 可以读取服务器上应用信息。一旦攻击者获取 app_token 等秘钥信息。攻击者可利用获取的秘钥信息伪造支付请求实现零元支付。

    修复方案:等待微信官方升级方案或临时添加 waf 规则

    来源:

    http://seclists.org/fulldisclosure/2018/Jul/3

    本地验证截图:

    https://mmbiz.qpic.cn/mmbiz_png/QXXss1uwYn8o5B3cueIe9ybzvDheiaiagtbGQvwL6goibfh5UUe4eFFVgpKp5DL1p7rfVHtaLDbDW3wQVkTNpue9w/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1

    3 回复  |  直到 2018-07-03 17:15:55 +08:00
        1
    quu   260 天前
    这是什么鬼?很多人点击,就是没互动,哈哈。

    sdk for java 有问题,其它自查吧,另外 Wordpress ≤ 4.9.6 也去升级最新,有个任意文件删除。
        2
    hcymk2   260 天前
    wxpay 官方的提供 最新的 PHPSDK 没问题。有 libxml_disable_entity_loader(true)
        3
    xj90512   260 天前
    @quu 现在关注点都在这个白帽子是否是中国人,而不是这个漏洞本身了,哈哈
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2759 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 15ms · UTC 12:02 · PVG 20:02 · LAX 05:02 · JFK 08:02
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1