微信支付开发 注意!微信支付SDK开发组件XXE漏洞

2018-11-10 16:44:31 微信支付开发 1493 views 微信支付开发
[导读]:本文(《注意!微信支付SDK开发组件XXE漏洞》)由来自高碑店的读者投稿,并经由本站(河池微信接口)结合主题:微信支付开发,收集整理了众多资料而成。主要记述了微信开发,移动互联网,sdk,漏洞,科技新闻等方面的信息。相信从本文您一定可以获得自己所需要的!

一、漏洞描述

2018年7月2日,Rose Jackcode在packetstormsecurity披露WeChat Pay SDK XXE Injection漏洞。该漏洞产生位置位于微信的XML处理功能函数,该功能用于商家在用户支付完成后接收异步支付消息的传入到一个商家公开的API接口,该接口主体为提供了webservice接口服务。

该漏洞可能导致商家服务器敏感信息(包括用户订单,用户私人数据等)泄露,甚至可以获取相关密钥数据(md5-key和merchant-id等)从而伪造支付数据包绕过付费环节。该批露文档中已经成功利用自动化工具读取了陌陌、vivo等互联网公司的数据信息。

二、漏洞分析

缺陷代码位置:\java-sdk-v3\src\main\java\com\github\wxpay\sdk\WXPayUtil.java, Line 42

图片

并且可以在README.md中看到该函数的用法,该函数主要用作支付结果反馈给用户时验证签名。

代码位置:\java-sdk-v3\README.md

目前官方最新版本仍存在该问题,未对旧版本检测。

目前官方最新版本仍存在该问题,未对旧版本检测。

小编提示:漏洞影响范围是使用了微信支付的网站,注意是网站,和客户手机上的app没影响!!!

相关问答

问:微信支付怎么开发

答:微信支付是集成在微信客户端的支付功能,用户可以通过手机完成快速的支付流程。微信支付向用户提供安全、快捷、高效的支付服务,以绑定银行卡的快捷支付为基础。支持支付场景:微信公众平台支付、APP(第三方应用商城)支付、二维码扫描支付。请登录微信,进入“钱包”=》添加银行卡=》填写银行卡信息=》输入验证码即可开通微信支付。


问:微信支付是谁开发的

答:微信支付是集成在微信客户端的支付功能,用户可以通过手机完成快速的支付流程。微信支付以绑定银行卡的快捷支付为基础,向用户提供安全、快捷、高效的支付服务。用户只需在微信中关联一张银行卡,并完成身份认证,即可将装有微信app的智能手机变成一个全能钱包,之后即可购买合作商户的商品及服务,用户在支付时只需在自己的智能手机上输入密码,无需任何刷卡步骤即可完成支付,整个过程简便流畅。
目前微信支付已实现刷卡支付、扫码支付、公众号支付、APP支付,并提供企业红包、代金券、立减优惠等营销新工具,满足用户及商户的不同支付场景。 微信支付支持以下银行发卡的贷记卡:深圳发展银行、宁波银行。此外,微信支付还支持以下银行的借记卡及信用卡:招商银行、建设银行、光大银行、中信银行、农业银行、广发银行、平安银行、兴业银行、民生银行。
2014年9月26日,腾讯公司发布的腾讯手机管家5.1版本为微信支付打造了"手机管家软件锁",在安全入口上独创了"微信支付加密"功能,大大提高微信支付的安全性。2016年3月1日起,微信支付调整手续费收费政策,转账交易恢复免费,对超额提现交易收取手续费。2017年5月4日,微信支付携手CITCON正式进军美国。


问:微信公众号支付开发提示支付不成功

答:首先拿商户等配置信息生成prepayid接着2次签名的7个参数(注意timestamp和timeStamp,以设计文档为准)本地逻辑处理回调地址正确,处理回调逻辑(含业务逻辑)


上一篇:没有了

猜你喜欢

    暂无相关文章

发表评论

周DNG儿

我也遇到了,直接回调了那个支付结果的函数,没有弹出支付界面

2018-11-24 12:02:40
KAI_凯

可能是订单的问题,一个订单号只能用一次

2018-11-16 14:09:50
读者

如果之前你运行成功过,说明支付应该是可以,不要拿同一个订单去反复测试,容易出问题;并且如果第一次下单成功,没有去支付,如果留的有待支付的话,待支付支付不成功,你看看用户是不是绑定openid了,造成订单也和openid绑定了。

2018-11-11 14:33:52
局外人

你要亲自到银行的营业窗口办理绑定银行卡手续,就是把你的银行卡和自己的手机号码绑定在一起,绑定完成后,把银行卡添加到微信上面,你的微信支付就可以正常使用了,如果你把银行卡添加到支付宝上面,你的支付宝也可以正常使用了。

2018-11-11 14:13:26

发表评论:

在线客服