2018年7月4日,微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。7月5日微信支付官方发布声明,称该安全问题是XML组件默认没有禁用外部实体引用导致。
以下为公告原文:
尊敬的微信支付商户:
温馨提示,请贵公司研发团队关注XML外部实体注入漏洞(XXE)的相关信息:
1、XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是XML组件默认没有禁用外部实体引用导致。
2、请安排贵公司技术人员排查确认其系统中接收微信支付回调通知部分的逻辑是否存在XXE漏洞,同时也请排查其他相关系统是否存在该漏洞,该漏洞极易因研发人员编码遗漏引入且危害很大,具体的检查和修复方案已经在微信支付商户平台内发布公告,请尽快让技术人员进行查看和处理。
3、微信支付安全实践指引:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5