警惕移動支付SDK漏洞,啟明星辰WAF提供解決方案
近日,國外知名安全社區 seclists.org公布了某移動支付官方SDK存在嚴重的XXE漏洞,可導致商家伺服器被入侵。目前,該漏洞詳細信息以及攻擊方式已被公開,影響範圍巨大。seclists.org公布的漏洞詳情已確認陌陌、VIVO因使用了該SDK而存在該漏洞。
(漏洞來源:
http://seclists.org/fulldisclosure/2018/Jul/3)具體受影響版本為JAVA SDK,WxPayAPI_JAVA_v3,建議使用了該版本的用戶進行漏洞確認和異常支付排查。
漏洞詳情
XXE全稱是XML外部實體注入( XML External Entity Injection ),是一種容易被忽視,但危害巨大的漏洞。當允許引用外部實體時,攻擊者通過構造惡意內容,可導致讀取任意文件、執行系統命令、探測內網埠、攻擊內網網站等危害。
某移動支付公司在JAVA版本的SDK中提供callback回調功能,用來幫助商家接收非同步付款結果,該介面可以接受XML格式的回調數據輸入,攻擊者通過構造惡意的回調數據可能竊取到伺服器上的任意文件信息。一旦攻擊者獲取到md5-key和商家信息,將可以實現0元支付任意商品。
漏洞利用
簡單分析一下某移動支付SDK的支付邏輯,
1. 統一下單代碼:
2. 回調處理代碼:
通過代碼分析可以看出,攻擊者只要知道商戶的notify_url,然後向介面發送精心構造的 XXE攻擊 payload,即可以完成攻擊,並且該攻擊過程在簽名校驗之前完成。攻擊成本很低,漏洞影響比較廣泛,危害較大。
解決方案
● 部署WAF檢測與防護
使用啟明星辰WAF的客戶無需升級補丁即可對某移動支付SDK存在XXE漏洞進行安全檢測與防護,啟明星辰WAF產品檢測及防護該漏洞的效果如下:
● 修復建議
某移動支付公司宣稱已經修復SDK中XEE漏洞,啟明星辰WAF產品團隊建議用戶使用代碼修復,禁用外部實體解析。
總體
針對某移動支付官方SDK存在嚴重的XXE漏洞,如需要支持可聯繫啟明星辰集團各分支機構。
具體如下:
http://www.venustech.com.cn/AboutItem/257/。
啟明星辰WAF產品適應從小型企業到大型數據中心等各種規模和客戶業務模型下的網路環境,並廣泛應用於金融、運營商、政府、能源、大企業、煙草、稅務、交通、衛生、教育等行業領域。
啟明星辰作為中國信息安全行業的領航企業,一直秉承誠信和創新精神,致力於提供具有國際競爭力的、自主創新的WAF安全產品。啟明星辰WAF產品入圍Gartner魔力象限,根據第三方Frost& Sullivan權威機構WAF市場佔有率數據,啟明星辰WAF產品連續多年在大中國區WAF市場名列前茅。
?
END
?
TAG:啟明星辰 |