微信支付接口存在XML解析安全漏洞
2023-02-28 分類: 網(wǎng)站建設(shè)
最近比較火的是微信支付接口存在XML外部實(shí)體注入漏洞(XML External Entity Injection,簡(jiǎn)稱 XXE)。該安全問(wèn)題是由XML組件默認(rèn)沒(méi)有禁用外部實(shí)體引用導(dǎo)致,黑客可以偽造一個(gè)請(qǐng)求讓支付商戶誤以為訂單支付了,其實(shí)訂單并沒(méi)有支付,這樣黑客就可以0元買(mǎi)任何商品。
這個(gè)漏洞是在微信支付接口通知是否支付的環(huán)節(jié)出現(xiàn)漏洞。主要發(fā)生在以下場(chǎng)景。
場(chǎng)景1:支付成功通知;
場(chǎng)景2:退款成功通知;
場(chǎng)景3:委托代扣簽約、解約、扣款通知;
場(chǎng)景4:車主解約通知;
這個(gè)漏洞影響性還是蠻大的,可以直接導(dǎo)致商家金錢(qián)損失,尤其是有微信支付功能模塊的自動(dòng)發(fā)貨的系統(tǒng)及銷售虛擬商品的商城。
黑客能利用這個(gè)漏洞的條件有兩個(gè):
一、知道怎么使用XML外部實(shí)體注入漏洞;(因?yàn)槁┒匆呀?jīng)被公開(kāi),大家都知道,可恨的是很多人把攻擊的方式都公開(kāi)了!!!!)
二、知道微信支付通知的地址;(這個(gè)開(kāi)源建站系統(tǒng)因?yàn)樵创a是公開(kāi)的,所以基本不用猜都知道,而定制建站系統(tǒng)則比較難猜,所以定制建站系統(tǒng)還有一層防護(hù))
所以對(duì)于開(kāi)源建站系統(tǒng),源代碼大家都知道,微信支付通知的地址自然是清楚了,這也暴露了很多開(kāi)源建站系統(tǒng)的軟肋,創(chuàng)新互聯(lián)建議:做網(wǎng)站還是建議采用定制建站,就算出現(xiàn)漏洞,因?yàn)榇a不開(kāi)源,所以自然而然多一重安全保障。
這個(gè)漏洞如何修補(bǔ)呢?
如果是PHP網(wǎng)站,非常簡(jiǎn)單,一句話解決libxml_disable_entity_loader(true);
如下代碼示例:
//將XML轉(zhuǎn)為array
function xmlToArray($xml) {
//禁止引用外部xml實(shí)體 libxml_disable_entity_loader(true);
$values = json_decode(json_encode(simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_NOCDATA)), true);
return $values;
}
如果是ASP.NET網(wǎng)站
【.Net】
XmlDocument doc= new XmlDocument();
doc.XmlResolver = null;
微信官方也給每個(gè)商戶推送了這個(gè)接口安全漏洞,也給出了各個(gè)程序語(yǔ)言的修復(fù)方法,APP SDK 不受影響,主要還是網(wǎng)站。
如果你是商家,這個(gè)漏洞還沒(méi)有修復(fù),建議財(cái)務(wù)對(duì)每一筆訂單進(jìn)行二次審核,通過(guò)登錄微信支付管理后臺(tái)查看訂單數(shù)據(jù),再次審核訂單支付是否真實(shí)來(lái)決定是否發(fā)貨。
如果你是創(chuàng)新互聯(lián)的客戶,那么你不用擔(dān)心,我們技術(shù)會(huì)免費(fèi)為你修補(bǔ)這個(gè)漏洞。
創(chuàng)新互聯(lián)專注于網(wǎng)站建設(shè)、微信小程序、APP開(kāi)發(fā),目前在成都和廣州均有分公司,歡迎廣大客戶咨詢400-028-6601!
網(wǎng)頁(yè)名稱:微信支付接口存在XML解析安全漏洞
網(wǎng)站URL:http://m.kartarina.com/news14/240264.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站建設(shè)、面包屑導(dǎo)航、靜態(tài)網(wǎng)站、外貿(mào)建站、App開(kāi)發(fā)、網(wǎng)站內(nèi)鏈
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容
- 如何才能讓我們發(fā)布的外鏈快速被收錄然后被計(jì)入關(guān)鍵詞排名 2023-02-28
- 去搜索背景下的做網(wǎng)站策略 2023-02-28
- 網(wǎng)站進(jìn)行改版后需要注意的一些事 2023-02-28
- 簡(jiǎn)單的蘇州網(wǎng)站制作也很棒 2023-02-28
- 企業(yè)網(wǎng)站制作新趨勢(shì):一增一減一強(qiáng)一弱 2023-02-28
- 晉城seo網(wǎng)站優(yōu)化,值得關(guān)注的問(wèn)題有哪些 2023-02-28
- 手機(jī)網(wǎng)站建設(shè)的三個(gè)關(guān)鍵點(diǎn) 2023-02-28
- 網(wǎng)站對(duì)企業(yè)的作用 2023-02-28
- 維護(hù)更新不要忽視了熊掌號(hào)這是為啥呢? 2023-02-28
- 網(wǎng)頁(yè)設(shè)計(jì)費(fèi)用多少怎么計(jì)算才合理 2023-02-28
- 如何更新網(wǎng)站才能獲得搜索引擎的喜愛(ài) 2023-02-28
- 成都進(jìn)行網(wǎng)站建設(shè)之前應(yīng)該了解哪些 2023-02-28
- 沒(méi)有百度指數(shù)的關(guān)鍵詞多久能排名 2023-02-28
- 網(wǎng)站建設(shè)分享建網(wǎng)站問(wèn)題及解決方案有哪些 2023-02-28
- 成都一般建網(wǎng)站多少錢(qián)才合情合理 2023-02-28
- 成都網(wǎng)站制作選擇公司的方法 2023-02-28
- 中小企業(yè)未來(lái)生存之道:網(wǎng)絡(luò)營(yíng)銷的實(shí)現(xiàn) 2023-02-28
- 網(wǎng)頁(yè)制作公司談未來(lái)網(wǎng)站建設(shè)的發(fā)展趨勢(shì) 2023-02-28
- 建設(shè)網(wǎng)站想要成功務(wù)必要具備的因素 2023-02-28