今天，白帽交易安全研究所担心外国安全社区已经宣布微信支付官方SDK存在严重缺陷，这可能导致商家服务器的入侵（绕过付款的影响）。目前，漏洞和攻击方法的细节已经公开，漏洞的范围很广。 （已确认该漏洞是由使用SDK引起的。）建议使用JAVA SDK的商家快速检查和修复。 目前，已确认漏洞（XXE漏洞）会影响SDK的JAVA版本。从历史上看，SDK的PHP版本中存在类似的漏洞。 什么是XML外部实体（XXE）？ 当允许引用外部实体时，构造恶意内容可能导致诸如读取任意文件，执行系统命令，检测Intranet端口以及攻击Intranet网站等危险。 漏洞影响 此漏洞可能允许攻击者在通知URL处构建恶意负载，以根据需要从商家服务器窃取任何信息。一旦攻击者获得了商家的关键安全密钥（md5-key和merchant-Id等），他甚至可以通过发送虚假信息来欺骗商家而无需支付任何费用。目前，微信官方尚未修复SDK。已证实Momo和vivo受此漏洞影响。微信支付广泛用于各种支付方案。目前，白帽在未通知制造商的情况下公布。至此，官方尚未发布相关补丁。提醒制造商检查自己的系统并及时修复以防止损失。 截至2018年7月3日16:00，微信官方尚未发布相关补丁。 利用 漏洞再现 目前，White Hat Exchange Security Research Institute已在本地重新创建此漏洞，并且存在漏洞。我们使用Burpsuite进行了一个简单的测试，我们可以看到服务器已成功请求我们的远程服务器。在这里，您可以进一步从服务器获取数据，甚至执行系统命令以提高系统权限。 以下是使用微信支付JAVA SDK构建的漏洞代码。此漏洞是由使用WXPayUtil.xmlToMap方法引起的，并且传入的数据是可控的。漏洞示例代码如下： 修复建议 用户可以使用开发语言提供的方法来禁用外部实体。 java禁用外部实体的代码如下： DocumentBuilderFactory dbf=DocumentBuilderFactory.newInstance（）; dbf.setExpandEntityReferences（假）; 补充： 根据国外发布的内容的发布，漏洞记者可能是中国人。中文标点符号在其发布的内容中明确使用。 White Hat Exchange Security Institute将继续跟踪此漏洞，因此请继续关注此链接。 参考： [1] https://twitter.com/codeshtool [2] http://seclists.org/fulldisclosure/2018/Jul/3 如果转载，请注明出处并说明来源地址。谢谢！ 本文讨论: https://nosec.org/home/detail/1678.html 来源：https://nosec.org （NOSEC安全消息平台） 这个日志的t.cn短域名是：http://t.cn/RdZhbR1 本文源自  NOSEC安全消息传递平台，由congtou编辑，版权归NOSEC Secure Messaging Platform所有。 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代���，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。