7月1日,在老牌漏洞披露平臺Full Disclosure出現了一封寫給微信支付的公開信。發件人是Rose Jackcode,信的標題是《微信支付官方SDK的XXE安全漏洞(微信支付在商戶頁面遺留了一個后門)》。
發表在漏洞披露平臺Full Disclosure上的公開信
發件人Rose Jackcode在信中稱,他在微信支付官方SDK(軟件工具開發包)發現了一個安全漏洞,此漏洞可導致商家服務器被入侵,一旦攻擊者獲得商家的關鍵安全密鑰,就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。
在使用微信支付時,商家需要提供通知網址以接受異步支付結果。問題是微信在JAVA版本SDK中的實現存在一個XXE漏洞。攻擊者可以向通知URL構建惡意payload,根據需要竊取商家服務器的任何信息。換句話說,黑客利用微信支付的這個漏洞,能實現0元買買買的情況。 為了讓大家信服,Rose Jackcode還貼出了兩張代碼截圖,展示出漏洞利用的過程,中招者是 Vivo和陌陌。
陌陌中招
vivo中招
那么他提到的XXE漏洞到底是什么呢?資料顯示,XXE漏洞即XML外部實體注入漏洞,它通常發生在應用程序解析XML輸入時,沒有禁止外部實體的加載,導致可加載惡意外部文件,造成文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起DOS攻擊等危害。簡單說就是使用XML后的引用不規范導致的問題。
值得注意的是,目前漏洞的詳細信息以及攻擊方式已被公開,安全人員建議使用 JAVA語言 SDK(軟件開發工具包)開發微信支付功能的商戶,快速檢查并修復。據白帽匯安全總監“BaCde”向雷鋒網透露,由于微信官方的SDK有問題,目前所有使用基于微信支付JAVA SDK開發的微信支付功能都可能受影響。
但是為什么Vivo和陌陌會受影響?一個是手機廠商,一個是社交軟件,似乎和微信支付沒有直接關聯。 BaCde解釋,Vivo可能是因為其在線商城,比如黑客可以用微信支付不花一分錢來買走在線商城的東西。而對于陌陌中招,則有可能是因為它可以通過微信支付進行會員充值,也有漏洞可以利用。
針對此漏洞,微信支付方面未發布相關安全公告。騰訊方面在向媒體回應時表示,“微信支付技術安全團隊已第一時間關注及排查,并于今天中午對官方網站上該SDK漏洞進行更新,修復了已知的安全漏洞,并在此提醒商戶及時更新。請大家放心使用微信支付。”