中国重庆公安局主办 | 加入收藏| 招警信息|110服务台|有奖举报
  → 您现在的位置: 河北十一选5开奖结果网络安全管理
关于第三方支付平台JAVA SDK存在XXE漏洞的安全公告
来自:|时间:2018年07月13日【字号: 】 【打印】 【关闭

国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务器端系统的XML外部实体注入攻击。目前漏洞的利用细节已被公开,厂商已发布补丁进行修复。

一、漏洞情况分析

可扩展标记语言(XML,eXtensible Markup Language)用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型。XML具备在任何应用程序中进行数据读写的简单特性,使其很快成为数据交换的唯一公共语言,被广泛应用于第三支付平台与商户之间交换数据的格式定义。

XML语言标准支持与外部进行实体数据交换的特性。应用程序在解析XML输入时,没有禁止外部实体加载功能,会导致XML外部实体注入漏洞(XML External Entity Injection,XXE)。201872日,境外SecLists网站发布了微信支付JAVA软件工具开发包(SDK)存在XXE漏洞。利用该漏洞,攻击者可在使用信息泄露、扫描爆破等特殊手段获知商户的通知接口(callback)地址的前提下,发送恶意XML实体,在商户服务器上执行代码,实现对商户服务器的任意文件读取。如果攻击者进一步获得商家的关键安全密钥,就可能通过发送伪造信息实现零元支付。

CNVD对该漏洞的综合评级为“高?!?。

二、漏洞影响范围

该漏洞影响商户服务器后台系统的安全,目前已知微信支付JAVA SDK 73日之前发布的版本、陌陌和vivo商户系统受此漏洞影响。

陌陌公司、腾讯公司和vivo商户系统已完成修复。

三、漏洞修复建议

建议第三方支付平台对本公司开发的SDK工具进行自查,发现安全隐患请及时通知下属商户,及时消除漏洞攻击威胁。

1、腾讯公司已发布JAVA SDK修复版本,建议商户及时更新至最新版本

2、用户可使用开发语言提供的禁用外部实体的方法,JAVA禁用外部实体的代码如下:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

3、过滤用户侧提交的XML数据

过滤关键词:DOCTYPE、ENTITY、SYSTEM、PUBLIC。

网上办事导航 | 招警信息 | 政府公开信箱 | 有奖举报
关闭窗口】 【河北十一选5开奖结果
  • 《脱身》热播 万茜化身“黄俪文”反差十足 2019-02-16
  • 回复@老老保老张工:谁愿意跟你这种老蚕是一家啊? 2019-02-15
  • 回复@海之宁:真理无敌! 2019-02-15
  • 南宁市环境质量总体保持良好 “南宁蓝”成常态 2019-02-15
  • 七彩人生、林氏木业等品牌产品抽检不合格 2019-02-15
  • 稀奇!格鲁吉亚垃圾场变质鸡蛋竟孵出数百只小鸡 2019-02-14
  • 司法责任制改革:追责保护相统一 给司法人员“定心丸” 2019-02-14
  • 独角兽基金募资或超700亿 银行渠道销量分化 2019-02-14
  • 女性之声——全国妇联 2019-02-13
  • 吃菜集中一、两天吃对身体并不好起码不容易消化。 2019-02-13
  • 地盘、招牌和钱包 日媒总结日本“政二代”与一代的不同 2019-02-13
  • 六招让卫生间臭味跑光光 多肉植物致幻怎么避伤害? 2019-02-13
  • 【今日之星】李宝:立志做大国工匠 2019-02-12
  • 语文水平太差,直通通的转不弯来,又怎么表现逻辑大师的水平,忽悠成为自我暴露 2019-02-12
  • 海拉尔区--内蒙古频道--人民网 2019-02-12
  • 363| 958| 67| 722| 719| 403| 735| 565| 873| 243|