2018

07/09

11:36

来源:
网信天津

微信

新浪

关于第三方支付平台JAVA SDK存在XXE漏洞的安全公告

       2018年7月3日,国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务器端系统的XML外部实体注入攻击。目前漏洞的利用细节已被公开,厂商已发布补丁进行修复。

  一、漏洞情况分析

  可扩展标记语言(XML,eXtensible Markup Language)用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型。XML具备在任何应用程序中进行数据读写的简单特性,使其很快成为数据交换的唯一公共语言,被广泛应用于第三支付平台与商户之间交换数据的格式定义。

  XML语言标准支持与外部进行实体数据交换的特性。应用程序在解析XML输入时,没有禁止外部实体加载功能,会导致XML外部实体注入漏洞(XML External Entity Injection,XXE)。2018年7月2日,境外SecLists网站发布了微信支付JAVA软件工具开发包(SDK)存在XXE漏洞。利用该漏洞,攻击者可在使用信息泄露、扫描爆破等特殊手段获知商户的通知接口(callback)地址的前提下,发送恶意XML实体,在商户服务器上执行代码,实现对商户服务器的任意文件读取。如果攻击者进一步获得商家的关键安全密钥,就可能通过发送伪造信息实现零元支付。

  CNVD对该漏洞的综合评级为“高危”。

  二、漏洞影响范围

  该漏洞影响商户服务器后台系统的安全,目前已知微信支付JAVA SDK7月3日之前发布的版本、陌陌和vivo商户系统受此漏洞影响。

  陌陌公司、腾讯公司和vivo商户系统已分别于7月2日、7月3日、7月4日完成修复。

  三、漏洞修复建议

  建议第三方支付平台对本公司开发的SDK工具进行自查,发现安全隐患请及时通知下属商户,及时消除漏洞攻击威胁。

  1、腾讯公司已发布JAVA SDK修复版本,建议商户及时更新至最新版本:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1

  2、用户可使用开发语言提供的禁用外部实体的方法,JAVA禁用外部实体的代码如下:

  DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance;

  dbf.setExpandEntityReferences(false);

  3、过滤用户侧提交的XML数据

  过滤关键词:DOCTYPE、ENTITY、SYSTEM、PUBLIC。

关于第三方支付平台JAVA SDK存在XXE漏洞的安全公告

2018 11:36来源:网信天津

       2018年7月3日,国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务器端系统的XML外部实体注入攻击。目前漏洞的利用细节已被公开,厂商已发布补丁进行修复。

  一、漏洞情况分析

  可扩展标记语言(XML,eXtensible Markup Language)用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型。XML具备在任何应用程序中进行数据读写的简单特性,使其很快成为数据交换的唯一公共语言,被广泛应用于第三支付平台与商户之间交换数据的格式定义。

  XML语言标准支持与外部进行实体数据交换的特性。应用程序在解析XML输入时,没有禁止外部实体加载功能,会导致XML外部实体注入漏洞(XML External Entity Injection,XXE)。2018年7月2日,境外SecLists网站发布了微信支付JAVA软件工具开发包(SDK)存在XXE漏洞。利用该漏洞,攻击者可在使用信息泄露、扫描爆破等特殊手段获知商户的通知接口(callback)地址的前提下,发送恶意XML实体,在商户服务器上执行代码,实现对商户服务器的任意文件读取。如果攻击者进一步获得商家的关键安全密钥,就可能通过发送伪造信息实现零元支付。

  CNVD对该漏洞的综合评级为“高危”。

  二、漏洞影响范围

  该漏洞影响商户服务器后台系统的安全,目前已知微信支付JAVA SDK7月3日之前发布的版本、陌陌和vivo商户系统受此漏洞影响。

  陌陌公司、腾讯公司和vivo商户系统已分别于7月2日、7月3日、7月4日完成修复。

  三、漏洞修复建议

  建议第三方支付平台对本公司开发的SDK工具进行自查,发现安全隐患请及时通知下属商户,及时消除漏洞攻击威胁。

  1、腾讯公司已发布JAVA SDK修复版本,建议商户及时更新至最新版本:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1

  2、用户可使用开发语言提供的禁用外部实体的方法,JAVA禁用外部实体的代码如下:

  DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance;

  dbf.setExpandEntityReferences(false);

  3、过滤用户侧提交的XML数据

  过滤关键词:DOCTYPE、ENTITY、SYSTEM、PUBLIC。

为你推荐

国家计算机病毒应急处理中心监测发现十

近日在净网行动中,国家计算机病毒应急处理中心通过互联网监测发现,10款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及隐私窃取、恶意传播、资费消耗、系统破坏……

钓鱼邮件攻击防范指南

钓鱼邮件是指黑客伪装成同事、合作伙伴、朋友、家人等用户信任的人,通过发送电子邮件的方式,诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马……

关于华硕路由器存在跨站脚本攻击漏洞的

近日,国家信息安全漏洞共享平台CNVD收录了台湾华硕电脑股份有限公司开发的型号为RT-AC58U的路由器存在反射型跨站脚本攻击漏洞(CNVD编号:CNVD-2018-21251)。