logo

中文|English|客服热线:4008107766

售后服务
4008107766
当前位置:首页 > 新闻中心 > 企业新闻
企业新闻

警惕移动支付SDK漏洞,网御星云WAF提供解决方案

时间:2018-07-04

近日,国外知名安全社区 seclists.org公布了某移动支付官方SDK存在严重的XXE漏洞,可导致商家服务器被入侵。目前,该漏洞详细信息以及攻击方式已被公开,影响范围巨大。seclists.org公布的漏洞详情已确认陌陌、VIVO因使用了该SDK而存在该漏洞。

(漏洞来源:http://seclists.org/fulldisclosure/2018/Jul/3)具体受影响版本为JAVA SDK,WxPayAPI_JAVA_v3,建议使用了该版本的用户进行漏洞确认和异常支付排查。


漏洞详情


XXE全称是XML外部实体注入( XML External Entity Injection ),是一种容易被忽视,但危害巨大的漏洞。当允许引用外部实体时,攻击者通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。


某移动支付公司在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口可以接受XML格式的回调数据输入,攻击者通过构造恶意的回调数据可能窃取到服务器上的任意文件信息。一旦攻击者获取到md5-key和商家信息,将可以实现0元支付任意商品。


漏洞利用


简单分析一下某移动支付公司SDK的支付逻辑


1. 统一下单代码:
 


2. 回调处理代码:
 


通过代码分析可以看出,攻击者只要知道商户的notify_url,然后向接口发送精心构造的 XXE攻击 payload,即可以完成攻击,并且该攻击过程在签名校验之前完成。攻击成本很低,漏洞影响比较广泛,危害较大。


解决方案

■ 部署WAF检测与防护


使用网御星云WAF的客户无需升级补丁即可对某移动支付公司SDK存在XXE漏洞进行安全检测与防护,网御星云WAF产品检测及防护该漏洞的效果如下:
 

 


■ 修复建议


某移动支付公司宣称已经修复SDK中XEE漏洞,启明星辰WAF产品团队建议用户使用代码修复,禁用外部实体解析。


总体

针对某移动支付官方SDK存在严重的XXE漏洞,如需要支持可联系网御星云各分支机构,具体如下:http://www.leadsec.com.cn/list/80.html

网御星云WAF连续三年以上通过OWASP 《Web应用防火墙标准》认证。在2017年7月发布的《OWASP TOP 10》版中网御WAF产品能够较好的对OWASP TOP 10 2017安全风险进行安全加固。


网御星云WAF产品适应从小型企业到大型数据中心等各种规模和客户业务模型下的网络环境,并广泛应用于政府、公安、检察、法院、金融、运营商、能源、大企业、烟草、税务等行业领域。

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
网御星云WEB应用防护系统
控制网关
网御星云入侵防御系统
网御星云漏洞扫描系统
服务与下载
支持与服务
在线升级
联系我们
二维码