关于第三方支付平台JAVA SDK存在XXE漏洞的安全公告
2018-11-19 17:53   审核人:

一、漏洞情况分析

XML语言标准支持与外部进行实体数据交换的特性。应用程序在解析XML输入时,没有禁止外部实体加载功能,会导致XML外部实体注入漏洞(XML External Entity Injection,XXE)。2018年7月2日,境外SecLists网站发布了微信支付JAVA软件工具开发包(SDK)存在XXE漏洞。利用该漏洞,攻击者可在使用信息泄露、扫描爆破等特殊手段获知商户的通知接口(callback)地址的前提下,发送恶意XML实体,在商户服务器上执行代码,实现对商户服务器的任意文件读取。如果攻击者进一步获得商家的关键安全密钥,就可能通过发送伪造信息实现零元支付。

二、漏洞影响范围

陌陌公司、腾讯公司和vivo商户系统已分别于7月2日、7月3日、7月4日完成修复。

       建议第三方支付平台对本公司开发的SDK工具进行自查,发现安全隐患请及时通知下属商户,及时消除漏洞攻击威胁。

2、用户可使用开发语言提供的禁用外部实体的方法,JAVA禁用外部实体的代码如下:

dbf.setExpandEntityReferences(false);

过滤关键词:DOCTYPE、ENTITY、SYSTEM、PUBLIC。

http://www.cnvd.org.cn/flaw/show/CNVD-2018-12508

<p style="color: rgb(51, 51, 51); font-family:;" white-space:normal;background-color:#f8f8f8;"="">http://seclists.org/fulldisclosure/2018/Jul/3


关闭窗口

常见问题解答

版权所有 © 长春师范大学网络中心
地址:吉林省长春市长吉北路677号长春师范大学理科实验楼三楼   |   邮编:130032
邮箱:wxb@ccsfu.edu.cn   |   联系电话:0431-86168112