今天,微信支付釋出了一則緊急通知:
尊敬的微信支付商戶:
您的系統在接受微信支付XML格式的商戶回撥通知(支付成功通知、退款成功通知、委託代扣簽約/解約/扣款通知、車主解約通知)時,如未正確地進行安全設定或編碼,將會引入有較大安全隱患的XML外部實體注入漏洞(XML External Entity Injection,簡稱 XXE)。
請貴司研發人員務必參考微信支付安全實踐指引:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 ,進行安全隱患確認和排除。
微信支付團隊
2018年7月4號
科普
XXE漏洞全稱XML External Entity Injection即xml外部實體注入漏洞,XXE漏洞發生在應用程式解析XML輸入時,沒有禁止外部實體的載入,導致可載入惡意外部檔案,造成檔案讀取、命令執行、內網埠掃描、攻擊內網網站、發起dos攻擊等危害。xxe漏洞觸發的點往往是可以上傳xml檔案的位置,沒有對上傳的xml檔案進行過濾,導致可上傳惡意xml檔案。
微信支付將大面積受影響
在微信支付回撥過程中,微信預設使用了XML格式的資料,因此幾乎所有微信支付流程都面臨XXE漏洞的風險。
XXE危害有多大?輕則攻擊者可以不花一分錢完成一個“已支付”訂單,重則整個系統淪陷。
攻擊難度如何?
網上搜“XXE”即可看到各種完整的攻擊教程,完成一次攻擊只需要1分鐘!所以不要心存僥倖!
別急,有我們在!
Senparc 團隊在第一時間已經提供了修補程式,請將你的系統升級到 Senparc.Weixin SDK 最新版本,包括全系列MP(公眾號)、WxOpen(小程式)、Open(開放平臺)、Work(企業微信)等模組。
同時,系統底層公共模組 Senparc.CO2NET 也為所有 C# 程式提供了徹底的一站式解決方案,在 CO2NET 最新版本(v0.1.6.1)中,提供了名為 XmlDocument_XxeFixed 的類(名稱空間:Senparc.CO2NET.ExtensionEntities),全域性使用 XmlDocument_XxeFixed 取代 XmlDocument 即可修補此漏洞。
Senparc.Weixin SDK 升級包地址:
MP(v5.0.6.1):
https://www.nuget.org/packages/Senparc.Weixin.MP
WxOpen(2.0.6.2):
https://www.nuget.org/packages/Senparc.Weixin.WxOpen
Open(v3.0.6.1):
https://www.nuget.org/packages/Senparc.Weixin.Open
Work(v2.0.6.1):
https://www.nuget.org/packages/Senparc.Weixin.Work
CO2NET 升級包地址:
https://www.nuget.org/packages/Senparc.CO2NET
(Senparc.Weixin 已經自帶最新 CO2NET)
感謝本次釋出 SDK 版本的貢獻者們:
Senparc 團隊
TomLiu-GitHub
lhg0302
lishewen
e4ky
風格
加入XXE解決方案討論群:
QQ群:622959308
重要的事情說三遍:
馬上升級!
馬上升級!
馬上升級!