微信支付的JAVA SDK存在漏洞,可导致商家服务器被入侵(绕过支付)【漏洞已复现】

匿名者  81天前

timg.jpg

今日,白帽汇安全研究院关注到国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵(绕过支付的效果)。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌、vivo并非使用官方提供的SDK,却同样存在该漏洞,其他商家也并不排除在不使用官方SDK的情况下保证不存在该漏洞),建议用到JAVA SDK的商户快速检查并修复。

目前,确认该漏洞(XXE漏洞)影响JAVA版本的SDK,历史上曾经也出现过非微信官方的比较流行的PHP版本SDK存在同样的漏洞。截止目前,白帽汇安全研究院发现,微信官方共两次修复该漏洞,两处修改时间分别为2018年07月03日12时47分和2018年07月04日8时09分。分别修复了XXE漏洞和可DoS(导致拒绝服务)攻击的漏洞。提醒广场商户发现检测是否最新代码,及时更新修复漏洞。

wxpay666.png代码修改时间变化表

wxpay4444.png原始版本与最新版本更新代码的差异


什么是XML外部实体注入(XML External Entity,简称XXE)?

当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

漏洞影响

此次漏洞可使攻击者向通知URL 构建恶意有效payload,以便根据需要窃取商家服务器的任何信息。一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),他甚至可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。目前微信官方尚未对SDK进行修复。现已有momovivo已经验证被该漏洞影响。微信支付被广泛应用于各种支付场景。白帽汇提醒广大厂商检查自己的系统,及时进行修复并检查是否被黑,及时做出防范。

漏洞利用

image.png

image.png

漏洞复现

目前,白帽汇安全研究院已经通过本地复现此漏洞,漏洞真实存在。我们通过Burpsuite做简单测试,可以看到服务器已成功请求我们的远程服务器。这里还可进一步获取服务器中数据,甚至执行系统命令,提升系统权限。

1111.png以下为使用微信支付JAVA SDK所构造的漏洞代码,只要使用WXPayUtil.xmlToMap方法,且传入的数据可控,就会造成该漏洞。漏洞示例代码如下:

2222.png

修复建议

1、如果是自己开发的内容,白帽汇安全研究院提供如下建议:

JAVA版本可通过禁用外部实体引用,并且设置安全选项来防止XXE漏洞的产生,用户可根据实际代码情况,在创建DocumentBuilderFactory后,设置引用外部实体为false,并且增加安全设置选项。修复方式可参考腾讯官方的修复代码:

DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();   //修复代码写在该代码下方(注意变量名可能会不同),用户需根据实际情况进行调整。

documentBuilderFactory.setExpandEntityReferences(false);

documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);

除以上方式外,还可以参考微信支付官方推出的最佳安全实践去调整。其地址为:https://pay.weixin.qq.com/wiki/doc/api/native.php?chapter=23_3

2、如果使用了官方的JAVA SDK,官方目前已经出了补丁,大家可以更新SDK至最新版本。下载地址:https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip

补充:

经过与微信安全团队相关人员与白帽汇取得联系,经过沟通确认此次VIVO和陌陌并非使用官方的SDK导致的漏洞,在发生漏洞时,微信安全团队也在不断的通知用户进行修复。

根据发布国外发布的内容,猜测漏洞报告者可能是中国人。在其发布的内容中明确使用了中文的标点符号。

wechat1122.png

白帽汇安全研究院会持续跟踪该漏洞,请后续持续关注本链接

参考:

[1] https://twitter.com/codeshtool

[2] http://seclists.org/fulldisclosure/2018/Jul/3


如转载请注明出处,并注明来源地址。谢谢!

本文地址: https://nosec.org/home/detail/1678.html

出处:https://nosec.org (NOSEC安全讯息平台)

最新评论

LubyRuffy  :  就我一个人认为这个漏洞比较低级吗?
81天前 回复
Banana一舔就化了  :  流批,666
81天前 回复
BaCde  :  目测影响很多大厂。
81天前 回复
LubyRuffy  :  还有哪些?给个列表……
81天前 回复
LubyRuffy  :  文章补充了一个细节:技术人员用了中文的标点符号,说明是国内的技术人员冒充老外发的攻击详情。我个人推测,不排除是有黑客在利用过程中发现痕迹擦不干净了,马上对外公布,让广大黑客群体发起攻击,以便淹没最初的攻击,达到躲避的效果。因为直接公开这种级别的大杀器实在太不寻常。。。
81天前 回复
Later  :  刘辟
80天前 回复
三石  :  有种致富的感觉 ,少生孩子 多挖漏洞!!!哈哈哈
80天前 回复
roy  :  我对nosec的体验表示很难受。想留言,非跳到登录页,登录完,跳到主页。我只能再次为你们贡献一个点击,才到这里。
80天前 回复
班纳睿  :  确实不咋地,说点实话还不行么?
80天前 回复
BaCde  :  回复 这个是跟他开玩笑的~有意见提,我们是欢迎的~
80天前 回复
roy  :  微信SDK公开的,被哪个源代码审计高手发现的漏洞啊,这是说中国话的英国人吧
80天前 回复
班纳睿  :  你这个漏洞示例代码有点牵强
80天前 回复
BaCde  :  漏洞的示例代码只是用于做一个演示,其漏洞源码最终是在SDK本身没有对xml的内容进行远程实体进行限制,并且没有开启安全导致DOS漏洞。你这里倒也提醒我们,这里把SDK漏洞代码也放出来。
80天前 回复
Heroes  :  这个漏洞牛逼了。
78天前 回复
Later  :  十分牛逼了
65天前 回复
德玛西亚  :  NOSEC平台还真的是强大的一批啊
65天前 回复
宫本武藏  :  666666
65天前 回复
昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI

nosec.org All Rights Reserved 京ICP备15042518号