7 月 3 日,國外安全社區 Seclists.Org 一名白帽子披露了微信支付官方 SDK 存在嚴重的 XXE 漏洞。該漏洞可導致商家服務器被入侵,黑客可避開真實支付通道,用虛假的支付通知來購買任意產品。部分網絡購物平臺被證實已受影響。
“微信支付技術安全團隊已第一時間關注及排查,並在當天中午對官方網站上該SDK漏洞進行更新,修復了已知的安全漏洞,並在此提醒商戶及時更新。請大家放心使用微信支付。”
截止目前,微信官方共兩次修復該漏洞,兩處修改時間分別為2018年07月03日12時47分和2018年07月04日8時09分。分別修復了XXE漏洞和可DoS(導致拒絕服務)攻擊的漏洞。
什麼是XXE漏洞?
XML 外部實體注入漏洞(XML External Entity Injection,簡稱 XXE),是一種容易被忽視,但危害巨大的漏洞。它可以利用 XML 外部實體加載注入,執行不可預控的代碼,可導致讀取任意文件、執行系統命令、探測內網端口、攻擊內網網站等危害。
通常,我們在使用微信支付時,商家會有一個通知的 URL 來接收異步支付結果。然而,微信在 JAVA 版本的 SDK 存在一個 XXE 漏洞來處理這個結果。由此攻擊者可以向通知的 URL 中構建惡意的回調數據,以便根據需要竊取商家服務器上的任意信息。一旦攻擊者獲得商家的關鍵安全密鑰(md5-key 和merchant-Id),那麼他們可以通過發送偽造的信息來欺騙商家而無需付費購買任意商品。
微信XXE漏洞對創匠所有產品系統無任何影響,可放心使用
在收到漏洞信息後,創匠科技技術團隊已在第一時間檢查企業支付產品系統,並已確認該漏洞未對創匠所提供的移動支付系統產生任何影響,所有客戶的系統均能正常使用,目前也未收到有客戶反饋此類漏洞帶來相關損失,請所有客戶放心使用!下圖為我公司技術人員的解答。
創匠科技目前已累計為超過1000家企業級客戶提供移動支付技術服務,為客戶進行私有化部署服務,提供專業的移動支付行業解決方案,未來,企業將齊力共進,繼續做客戶信賴、行業認可的移動支付品牌。
閱讀更多 杭州創匠科技 的文章
