您的当前位置:首 页 >> 信息中心

二维码安全漏洞

发布日期:2021-11-30 20:01:56 作者: 点击:

商户接收回调通知URL对应的程序代码,如果不遵循安全规范,将会有XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。XXE的攻击原理:外界攻击者通过模拟回调通知,在回调通知中引入不安全的XML,即可在商户服务器上执行系统命令。

XXE漏洞可能带来的危害:外界攻击者可读取商户服务器上的任意文件;执行系统命令;探测内网端口;攻击内网网站。商户可能出现资金损失的情况,所以请贵司重视,必须修复漏洞。如果你有使用以下任意场景的回调业务,且回调URL对应的程序代码有使用XML组件解析内容的情况,请务必检查其是否对XXE漏洞进行了防范。场景1:支付成功通知:notify_url参数值对应的URL;场景2:退款成功通知:notify_url参数值对应的URL;场景3:委托代扣签约、解约、扣款通知;场景4:车主解约通知;场景5:扫码支付模式一回调:在商户平台(pay.weixin.qq.com)-->产品中心-->开发配置-->支付配置-->扫码支付-->支付回调链接;注:APP支付的用户端SDK不受影响,但需检查支付回调通知URL对应的程序代码。举例:需检查统一下单接口中传的notify_url参数,排查该URL对应的程序代码是否有XXE漏洞。

   wx2421b1c4370ec43b   支付测试   JSAPI支付测试   10000100   1add1a30ac87aa2db72f57a2375d8fec   http://wxpay.wxutil.com/pub_v2/pay/notify.v2.php   oUpF8uMuAJO_M2pxb1Q9zNjWeS6o   1415659990   14.23.150.211   1   JSAPI   0CB01533B8C1EF103065174F50BCA001