2. 程式人生 > >微信支付XXE漏洞

微信支付XXE漏洞

阿新 發佈:2018-12-17

1.場景還原

   近日,微信發來警告通知,告知平臺微信支付可能存在XXE(外部實體注入漏洞),筆者根據微信官方技術文件及時修復了該漏洞,分享出來希望能夠對大夥有所幫助

2.原因分析

  所謂的外部實體注入漏洞,主要是在xml轉map的時候處理不得當造成的,所以接下來的修復工作主要在xml解析類中下功夫

3.實現方案

①原有的解析類

@SuppressWarnings({ "unused", "rawtypes", "unchecked" })
public static Map parseXmlToList2(String xml) {
   Map retMap = new HashMap();
   try {
      StringReader read = new StringReader(xml);
      // 建立新的輸入源SAX 解析器將使用 InputSource 物件來確定如何讀取 XML 輸入
      InputSource source = new InputSource(read);
      // 建立一個新的SAXBuilder
      SAXBuilder sb = new SAXBuilder();
      // 通過輸入源構造一個Document
      Document doc =  sb.build(source);
      Element root = (Element) doc.getRootElement();// 指向根節點
      List<Element> es = root.getChildren();
      if (es != null && es.size() != 0) {
         for (Element element : es) {
            retMap.put(element.getName(), element.getValue());
         }
      }
   } catch (Exception e) {
      e.printStackTrace();
   }
   return retMap;
}

②修復後的解析類

@SuppressWarnings({ "unused", "rawtypes", "unchecked" })
public static Map parseXmlToList2(String strXML) throws Exception {
   Map data = new HashMap<>();
   DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
   String FEATURE = null;
   try {

      FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
      documentBuilderFactory.setFeature(FEATURE, true);

      FEATURE = "http://xml.org/sax/features/external-general-entities";
      documentBuilderFactory.setFeature(FEATURE, false);

      FEATURE = "http://xml.org/sax/features/external-parameter-entities";
      documentBuilderFactory.setFeature(FEATURE, false);

      FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
      documentBuilderFactory.setFeature(FEATURE, false);

      documentBuilderFactory.setXIncludeAware(false);
      documentBuilderFactory.setExpandEntityReferences(false);

   } catch (ParserConfigurationException e) {
      log
 
.error("ParserConfigurationException was thrown. The feature '" +
            FEATURE + "' is probably not supported by your XML processor.");

   }
   DocumentBuilder documentBuilder= documentBuilderFactory.newDocumentBuilder();
   InputStream stream = new ByteArrayInputStream(strXML.getBytes("UTF-8"));
   org.w3c.dom.Document doc = documentBuilder.parse(stream);
   doc.getDocumentElement().normalize();
   NodeList nodeList = doc.getDocumentElement().getChildNodes();
   for (int idx=0; idx<nodeList.getLength(); ++idx) {
      Node node = nodeList.item(idx);
      if (node.getNodeType() == Node.ELEMENT_NODE
 
) {
         org.w3c.dom.Element element = (org.w3c.dom.Element) node;
         data.put(element.getNodeName(), element.getTextContent());
      }
   }
   try {
      stream.close();
   }
   catch (Exception ex) {

   }
   return data;
}

從程式碼中可以看出,已經對外部實體侵入作了相應的防禦

轉載出處: https://blog.csdn.net/zhangxing52077/article/details/80932730

相關推薦

支付XXE漏洞修復解決辦法

@tz 根據微信官方回覆訊息: 1、您更新的只是官方SDK的部分程式碼,沒有完全更新,或者在SDK外還使用了XML的解析沒有防XXE 2、您可能有多個回撥地址,而你只修復了其中一個 3、您可能有多個伺服器,你只發布了其中一臺或者修改了沒有正式釋出 4、實際做xml解析的不

支付XXE漏洞

1.場景還原    近日,微信發來警告通知,告知平臺微信支付可能存在XXE(外部實體注入漏洞),筆者根據微信官方技術文件及時修復了該漏洞,分享出來希望能夠對大夥有所幫助 2.原因分析   所謂的外部實體注入漏洞,主要是在xml轉map的時候處理不得當造成的,所以接下來的

支付XXE漏洞修復

1.場景還原   近日,微信發來警告通知,告知平臺微信支付可能存在XXE(外部實體注入漏洞),筆者根據微信官方技術文件及時修復了該漏洞,分享出來希望能夠對大夥有所幫助2.原因分析  所謂的外部實體注入漏洞,主要是在xml轉map的時候處理不得當造成的,所以接下來的修復工作主要

PHP支付----xxe攻擊

這兩天,微信支付有bug的訊息迅速傳播,那這個到底是什麼導致的呢:微信支付後回撥通知的xml檔案中,被人惡意新增資料,導致返回資訊不準確,微信有官方文件說明:點選開啟連結我們專案用的是PHP作為開發語言,接到領導通知要我看看我們的專案有沒有受影響,可是,這個支付功能是很久以前

支付SDK存在XXE漏洞

ssl hub host lse 格式 hash 商品 ext utf-8 微信支付SDK存在XXE漏洞 漏洞信息來源:http://seclists.org/fulldisclosure/2018/Jul/3https://xz.aliyun.com/t/2426 0x0

談談支付曝出的漏洞

一、背景 昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通過該漏洞,攻擊者可以獲取伺服器中目錄結構、檔案內容,如程式碼、各種私鑰等。獲取這些資訊以後,攻擊者便可以為所欲為,其中就包括眾多媒體所宣傳的“0元也能買買買”。 漏洞報告地址;htt

漏洞預警】支付SDK存在嚴重漏洞,可導致0元支付或商家伺服器被黑

XXE (XML External Entity Injection) 漏洞發生在應用程式解析 XML 輸入時,沒有禁止外部實體的載入。是一種針對使用XML互動的Web應用程式的攻擊方法。 受影響版本:
 JAVA

H5調起支付功能

需要 con 返回 alert list 訂單 團隊 eve window 第一步:需要後端返回需要的以下參數: 該操作是你提交完訂單信息後在接口所返回的json, 其次將其存儲起來,我用的localStorage var payParams = {

支付開發填坑記之支付

wiki index 傳輸 系統 外網 ttr throw div union 微信支付,支持的支付方式比較多:有掃碼支付,刷卡支付,APP支付和公眾號支付。其中,APP和網站上最常用的就是APP支付和公眾號支付。前者集成在APP中,後者主要是為微信用戶提供了另一種支付方式

iOS支付demo運行報錯解決如下

art llb readme ring -objc override 項目 技術 cep 要接入微信支付的小夥伴,首先要下載一份官方demo(APP微信支付官方Demo下載),然後打開工程,準備大幹一場。 1、編譯報錯 編譯的時候居然直接報錯了(orz) 錯誤提示:

支付錯誤,頁面URL末註冊

net 控制器 index dex 微信 其中 大小寫 ssd 都是 最近在做個項目用到微信支付的JSSDK支付時候碰到“URL末註冊的問題”,可是我已經在公眾平臺裏的支付目錄裏添加了,測試了幾次都是這個問題,最後才發現原來是大小寫的問題,還有我的支

支付寶 采寶支付代理加盟可靠嗎?公司扶持給力輕松加盟

支付代理加盟 移動支付代理加盟 加盟服務商如今互聯網時代,人手一部手機,現金支付方式日漸冷落,取而代之的是手機刷碼支付,移動支付潮流全面興起, 采寶支付加盟可靠嗎?采寶支付在這種背景下全面“侵”入市場,很快獲得矚目,不管是消費者、商家,還是忙著創事業的投資者,都對這個品牌給予大大肯定。 采

采寶聚合支付服務商 +支付寶一站式服務平臺

聚合支付 二維碼支付 移動支付代理 支付寶支付代理服務商 杭州合言信息科技有限公司-發展至今,在支付中,支持各種支付工具,一站式支付服務商家(包括:支付寶、微信支付、中國銀聯)等支付服務,在各大第三方支付平臺僵持不下之際,采寶聚合支付便開始活躍在移動支付市場上。

支付代理加盟 支付寶掃碼支付申請條件

微信支付代理 微信支付加盟 支付寶支付掃碼申請我們先了解一下移動支付收單服務優勢吧? 加入采寶移動支付收單的優勢: 一、收單方式更為的快速,便捷,顧客只要在準備付錢時打開支付寶錢包或微信錢包給收銀員用掃描槍掃一下就完成交易了,不用找零,不用簽字,資金實時到賬,更杜絕了假幣風險。 二、政

支付-公眾號支付,統一下單,調起支付,回調驗證

.net log bsp 問題 常見問題 下單 article 微信 微信支付 參考:http://www.jianshu.com/p/a172a1b69fdd http://www.jianshu.com/p/1ae0ef652f63 http://www.jb51.n

支付寶下線商家收款 支付支付商家

支付寶下線商家收款 收款二維碼 支付寶下線商家收款 簡單來說,它可以用較簡單的方法,幫助中小商家們接入支付寶,快速掃碼,快速支付!與此前打印個人收款二維碼不同,官方收款碼將使商家轉變為簽約商戶,享受向銀行卡提取余額免手續費的優惠。 目前公司發展迅速,簽約商戶已超過10000家。 商

支付寶線下支付商家 開通支付寶商家簽約資料

二維碼支付代理 支付寶線下支付商家 付寶支付代理 微信支付寶商家簽約資料杭州合言信息科技有限公司-專註移動支付領域,二維碼支付代理,支付寶線下支付商家,支付寶支付代理,主要是服務於商戶,商戶和其一次對接之後,能同時支持微信支付,支付寶支付,百度錢包等多個支付渠道,包括支持多種第三方支付平臺、合作銀行及其他服務

支付支付創業好項目 采寶支付誠招合夥人

微信支付代理 支付寶支付代理商 支付寶省級代理 微信支付寶支付創業好項目?移動支付巨大的市場空間有無僅有的創富商機:移動支付在線下支付的春天即將到來”移動支付市場空間支付寶、微信希望用5年時間推動中國率先進入無現金社會。到2020年第三方移動支付市場的交易規模有望突破1000萬億元、如此巨大的支付市場,

支付寶二維碼支付代理加盟 采寶二維碼掃碼POS

微信支付代理 支付寶代理商 智能POS代理 現如今微信支付寶二維碼支付代理以及進入了支付潮流。如:銀幣、再到紙幣,演變到“錢”變得越來越輕薄。在現這個二維碼掃碼POS市場中,互聯網技術的支撐下,刷手機乘公交、刷支付寶買菜購物、繳水電費……日常生活中使用“現金”的場景,逐漸被手機各種支付方式取代,“無現金

支付代理市場潛力 越來越多的商家搶占市場

微信支付代理 支付寶支付加盟微信支付代理在未來還會不斷升級和優化,挖掘新的行業需求,開發出更多有潛力的經營項目,微信支付代理在解決支付方案經營難點的同時,也期待和越來越多的商戶和移動支付服務商家攜手共進,開拓市場,打造“共贏”局面。 微信支付,支付寶支付給我們帶來了什麽樣的改變?出門帶個手機吃喝