中国重庆市公安局主办
  → 您现在的位置: 重庆市公安局公众信息网网络安全管理
关于第三方支付平台JAVA SDK存在XXE漏洞的安全公告
来自:|时间:2018年07月13日【字号: 】 【打印】 【关闭

国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务器端系统的XML外部实体注入攻击。目前漏洞的利用细节已被公开,厂商已发布补丁进行修复。

一、漏洞情况分析

可扩展标记语言(XML,eXtensible Markup Language)用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型。XML具备在任何应用程序中进行数据读写的简单特性,使其很快成为数据交换的唯一公共语言,被广泛应用于第三支付平台与商户之间交换数据的格式定义。

XML语言标准支持与外部进行实体数据交换的特性。应用程序在解析XML输入时,没有禁止外部实体加载功能,会导致XML外部实体注入漏洞(XML External Entity Injection,XXE)。201872日,境外SecLists网站发布了微信支付JAVA软件工具开发包(SDK)存在XXE漏洞。利用该漏洞,攻击者可在使用信息泄露、扫描爆破等特殊手段获知商户的通知接口(callback)地址的前提下,发送恶意XML实体,在商户服务器上执行代码,实现对商户服务器的任意文件读取。如果攻击者进一步获得商家的关键安全密钥,就可能通过发送伪造信息实现零元支付。

CNVD对该漏洞的综合评级为“高?!?。

二、漏洞影响范围

该漏洞影响商户服务器后台系统的安全,目前已知微信支付JAVA SDK 73日之前发布的版本、陌陌和vivo商户系统受此漏洞影响。

陌陌公司、腾讯公司和vivo商户系统已完成修复。

三、漏洞修复建议

建议第三方支付平台对本公司开发的SDK工具进行自查,发现安全隐患请及时通知下属商户,及时消除漏洞攻击威胁。

1、腾讯公司已发布JAVA SDK修复版本,建议商户及时更新至最新版本

2、用户可使用开发语言提供的禁用外部实体的方法,JAVA禁用外部实体的代码如下:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

3、过滤用户侧提交的XML数据

过滤关键词:DOCTYPE、ENTITY、SYSTEM、PUBLIC。

网上办事导航 | 招警信息 | 政府公开信箱 | 有奖举报
关闭窗口】 【返回首页
  • 人民网记者走进迈宝赫 2019-06-16
  • 在实现复兴的道路上,注定要经历暴风骤雨。开展伟大斗争,不仅仅是说说而已。 2019-06-16
  • 回复@看着就想笑:难道公有制社会主义就不能生存发展吗?事实上公有制会生存发展的更好! 2019-06-15
  • [大笑]肯定要付钱啊!你个人占有属于大家的资源,就是一根针都得付钱,更何况是不可再生的土地? 2019-06-15
  • 浙江宁波:全国失信被执行人将面临联合信用惩戒 2019-06-15
  • 《扶摇》18日播出 杨幂“女子力”爆棚 2019-06-14
  • 全国取得专利代理人资格人数达3.7万 2019-06-14
  • 农民特别保守,将自己土体的主人,变成国家的佃户,非常保守 2019-06-14
  • 由进口至出口再至走向世界,这一路着实不易,其中少不了无数位科研人员的奉献与牺牲。 2019-06-13
  • 穗青少年三棋锦标赛下月举行 2019-06-13
  • 新股上市发行的流通股只占总股本的25%,有些只占总股本的10%,留下了大小非大量减持的后遗症。可以说是带病上市,目的就是不断制造新生资产阶级。 2019-06-13
  • 张洪在湘东走访慰问困难群众 2019-06-12
  • 高校招生将更加尊重学生自主选择 2019-06-12
  • 巴常驻联合国代表:上合组织为全球提供了一个促进共赢解决方案和互利合作的重要框架 2019-06-12
  • 让统战工作多些互联网思维 2019-06-11
  • 224| 26| 709| 21| 871| 843| 457| 472| 666| 178|