中国重庆公安局主办 | 加入收藏| 招警信息|110服务台|有奖举报
  → 您现在的位置: 河北十一选5开奖结果网络安全管理
关于第三方支付平台JAVA SDK存在XXE漏洞的安全公告
来自:|时间:2018年07月13日【字号: 】 【打印】 【关闭

国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务器端系统的XML外部实体注入攻击。目前漏洞的利用细节已被公开,厂商已发布补丁进行修复。

一、漏洞情况分析

可扩展标记语言(XML,eXtensible Markup Language)用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型。XML具备在任何应用程序中进行数据读写的简单特性,使其很快成为数据交换的唯一公共语言,被广泛应用于第三支付平台与商户之间交换数据的格式定义。

XML语言标准支持与外部进行实体数据交换的特性。应用程序在解析XML输入时,没有禁止外部实体加载功能,会导致XML外部实体注入漏洞(XML External Entity Injection,XXE)。201872日,境外SecLists网站发布了微信支付JAVA软件工具开发包(SDK)存在XXE漏洞。利用该漏洞,攻击者可在使用信息泄露、扫描爆破等特殊手段获知商户的通知接口(callback)地址的前提下,发送恶意XML实体,在商户服务器上执行代码,实现对商户服务器的任意文件读取。如果攻击者进一步获得商家的关键安全密钥,就可能通过发送伪造信息实现零元支付。

CNVD对该漏洞的综合评级为“高?!?。

二、漏洞影响范围

该漏洞影响商户服务器后台系统的安全,目前已知微信支付JAVA SDK 73日之前发布的版本、陌陌和vivo商户系统受此漏洞影响。

陌陌公司、腾讯公司和vivo商户系统已完成修复。

三、漏洞修复建议

建议第三方支付平台对本公司开发的SDK工具进行自查,发现安全隐患请及时通知下属商户,及时消除漏洞攻击威胁。

1、腾讯公司已发布JAVA SDK修复版本,建议商户及时更新至最新版本

2、用户可使用开发语言提供的禁用外部实体的方法,JAVA禁用外部实体的代码如下:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

3、过滤用户侧提交的XML数据

过滤关键词:DOCTYPE、ENTITY、SYSTEM、PUBLIC。

网上办事导航 | 招警信息 | 政府公开信箱 | 有奖举报
关闭窗口】 【河北十一选5开奖结果
  • 共享单车押金安全受关注 部分平台已引入银行存管 2018-12-13
  • 5G迎来首个全球商业化标准 真正的创新刚刚开始 2018-12-12
  • 人民日报来论:治理秸秆焚烧要治本 2018-12-12
  • 候选企业:家乐福(中国) 2018-12-12
  • 【专题】高质量发展江西行动 2018-12-11
  • 高考全国I卷理科综合题现俩答案 选A选B都给6分 2018-12-11
  • 一语惊坛(5月10日):半岛和平,是中朝两国的共同愿望。 2018-12-11
  • 泸州老窖股份有限公司获第十二届人民企业社会责任奖年度扶贫奖 2018-12-10
  • 为太原人才新政点赞! 2018-12-10
  • 图片报道:江西省峡江县举行公共租赁住房钥匙发放仪式 2018-12-10
  • 3D全息投影打造城市夜景“新名片” 2018-12-09
  • 习近平要求把这项工作作为重大政治任务 2018-12-09
  • 西部网(陕西新闻网)www.cnwest.com 2018-12-09
  • 风水神话的神话无穷无尽,小资产阶级都被逼成了城市无产阶级了,还在制造着神话 2018-12-08
  • 【十九大·理论新视野】为什么一直致力于“保障和改善民生”? 2018-12-08
  • 131| 88| 575| 389| 326| 346| 560| 359| 379| 268|