小心移动支付SDK误差，尊龙凯时WAF提供解决计划

宣布时间 2018-07-04

克日，外洋着名清静社区 seclists.org宣布了某移动支付官方SDK保存严重的XXE误差，可导致商家服务器被入侵。现在，该误差详细信息以及攻击方法已被果真，影响规模重大。seclists.org宣布的误差详情已确认陌陌、VIVO因使用了该SDK而保存该误差。

（误差泉源：http://seclists.org/fulldisclosure/2018/Jul/3）

详细受影响版本为JAVA SDK，WxPayAPI_JAVA_v3，建议使用了该版本的用户举行误差确认和异常支付排查。

误差详情

XXE全称是XML外部实体注入( XML External Entity Injection )，是一种容易被忽视，但危害重大的误差。当允许引用外部实体时，攻击者通过结构恶意内容，可导致读取恣意文件、执行系统下令、探测内网端口、攻击内网网站等危害。

某移动支付公司在JAVA版本的SDK中提供callback回调功效，用来资助商家吸收异步付款效果，该接口可以接受XML名堂的回调数据输入，攻击者通过结构恶意的回调数据可能窃取到服务器上的恣意文件信息。一旦攻击者获取到md5-key和商家信息，将可以实现0元支付恣意商品。

误差使用

简朴剖析一下某移动支付SDK的支付逻辑，

1. 统一下单代码：

2. 回调解理代码：

通过代码剖析可以看出，攻击者只要知道商户的notify_url，然后向接口发送全心结构的 XXE攻击 payload，即可以完成攻击，并且该攻击历程在署名校验之前完成。攻击本钱很低，误差影响较量普遍，危害较大。

解决计划

● 安排WAF检测与防护

使用尊龙凯时WAF的客户无需升级补丁即可对某移动支付SDK保存XXE误差举行清静检测与防护，尊龙凯时WAF产品检测及防护该误差的效果如下：

● 修复建议

某移动支付公司宣称已经修复SDK中XEE误差，尊龙凯时WAF产品团队建议用户使用代码修复，禁用外部实体剖析。

总体

针对某移动支付官方SDK保存严重的XXE误差，如需要支持可联系尊龙凯时集团各分支机构。

详细如下：

http://www.venustech.com.cn/AboutItem/257/。

尊龙凯时WAF产品顺应从小型企业到大型数据中心等种种规模和客户营业模子下的网络情形，并普遍应用于金融、运营商、政府、能源、大企业、烟草、税务、交通、卫生、教育等行业领域。

尊龙凯时作为中国信息清静行业的领航企业，一直承继诚信和立异精神，致力于提供具有国际竞争力的、自主立异的WAF清静产品。尊龙凯时WAF产品入围Gartner魔力象限，凭证第三方Frost& Sullivan权威机构WAF市场占有率数据，尊龙凯时WAF产品一连多年在大中国区WAF市场压倒一切。

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

关于尊龙凯时

小心移动支付SDK误差，尊龙凯时WAF提供解决计划

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线

软件升级

投资者关系

关于尊龙凯时

小心移动支付SDK误差 ，尊龙凯时WAF提供解决计划

7*24小时服务热线

小心移动支付SDK误差，尊龙凯时WAF提供解决计划