警惕移动支付SDK漏洞,澳门浦京娱乐场WAF提供解决方案

发布时间 2018-07-04

近日,国外知名安全社区 seclists.org公布了某移动支付官方SDK存在严重的XXE漏洞,可导致商家服务器被入侵。目前,该漏洞详细信息以及攻击方式已被公开,影响范围巨大。seclists.org公布的漏洞详情已确认陌陌、VIVO因使用了该SDK而存在该漏洞。


(漏洞来源:http://seclists.org/fulldisclosure/2018/Jul/3)

具体受影响版本为JAVA SDK,WxPayAPI_JAVA_v3,建议使用了该版本的用户进行漏洞确认和异常支付排查。



漏洞详情

XXE全称是XML外部实体注入( XML External Entity Injection ),是一种容易被忽视,但危害巨大的漏洞。当允许引用外部实体时,攻击者通过构造恶意内容,可导致读取任意文件、实行系统命令、探测内网端口、攻击内网网站等危害。

某移动支付企业在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口可以接受XML格式的回调数据输入,攻击者通过构造恶意的回调数据可能窃取到服务器上的任意文件信息。一旦攻击者获取到md5-key和商家信息,将可以实现0元支付任意商品。


漏洞利用

简单分析一下某移动支付SDK的支付逻辑,

1. 统一下单代码:
 


2. 回调处理代码:
 


通过代码分析可以看出,攻击者只要知道商户的notify_url,然后向接口发送精心构造的 XXE攻击 payload,即可以完成攻击,并且该攻击过程在签名校验之前完成。攻击成本很低,漏洞影响比较广泛,危害较大。


解决方案

● 部署WAF检测与防护

使用澳门浦京娱乐场WAF的客户无需升级补丁即可对某移动支付SDK存在XXE漏洞进行安全检测与防护,澳门浦京娱乐场WAF产品检测及防护该漏洞的效果如下:



● 修复建议

某移动支付企业宣称已经修复SDK中XEE漏洞,澳门浦京娱乐场WAF产品团队建议用户使用代码修复,禁用外部实体解析。


总体

针对某移动支付官方SDK存在严重的XXE漏洞,如需要支撑可联系澳门浦京娱乐场集团各分支机构。


具体如下:


http://www.venustech.com.cn/AboutItem/257/。

澳门浦京娱乐场WAF产品适应从小型企业到大型数据中心等各种规模和客户业务模型下的网络环境,并广泛应用于金融、运营商、政府、能源、大企业、烟草、税务、交通、卫生、教育等行业领域。

澳门浦京娱乐场作为中国信息安全行业的领航企业,一直秉承诚信和创新精神,致力于提供具有国际竞争力的、自主创新的WAF安全产品。澳门浦京娱乐场WAF产品入围Gartner魔力象限,根据第三方Frost& Sullivan权威机构WAF市场占有率数据,澳门浦京娱乐场WAF产品连续多年在大中国区WAF市场名列前茅。