今天,微信支付发布了一则紧急通知:

尊敬的微信支付商户:

您的系统在接受微信支付XML格式的商户回调通知(支付成功通知、退款成功通知、委托代扣签约/解约/扣款通知、车主解约通知)时,如未正确地进行安全设置或编码,将会引入有较大安全隐患的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE)。

请贵司研发人员务必参考微信支付安全实践指引:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 ,进行安全隐患确认和排除。

微信支付团队

2018年7月4号

科普

XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。

微信支付将大面积受影响

在微信支付回调过程中,微信默认使用了XML格式的数据,因此几乎所有微信支付流程都面临XXE漏洞的风险。

XXE危害有多大?轻则攻击者可以不花一分钱完成一个“已支付”订单,重则整个系统沦陷。

攻击难度如何?

网上搜“XXE”即可看到各种完整的攻击教程,完成一次攻击只需要1分钟!所以不要心存侥幸!

别急,有我们在!

Senparc 团队在第一时间已经提供了修补程序,请将你的系统升级到 Senparc.Weixin SDK 最新版本,包括全系列MP(公众号)、WxOpen(小程序)、Open(开放平台)、Work(企业微信)等模块。

同时,系统底层公共模块 Senparc.CO2NET 也为所有 C# 程序提供了彻底的一站式解决方案,在 CO2NET 最新版本(v0.1.6.1)中,提供了名为 XmlDocument_XxeFixed 的类(命名空间:Senparc.CO2NET.ExtensionEntities),全局使用 XmlDocument_XxeFixed 取代 XmlDocument 即可修补此漏洞。

Senparc.Weixin SDK 升级包地址:

MP(v5.0.6.1):

https://www.nuget.org/packages/Senparc.Weixin.MP

WxOpen(2.0.6.2):

https://www.nuget.org/packages/Senparc.Weixin.WxOpen

Open(v3.0.6.1):

https://www.nuget.org/packages/Senparc.Weixin.Open

Work(v2.0.6.1):

https://www.nuget.org/packages/Senparc.Weixin.Work

CO2NET 升级包地址:

https://www.nuget.org/packages/Senparc.CO2NET

(Senparc.Weixin 已经自带最新 CO2NET)

感谢本次发布 SDK 版本的贡献者们:

Senparc 团队

TomLiu-GitHub

lhg0302

lishewen

e4ky

风格

加入XXE解决方案讨论群:

QQ群:622959308

重要的事情说三遍:

马上升级!

马上升级!

马上升级!

【红色警报】XXE 高危漏洞将大面积影响微信支付安全,可能导致系统沦陷,请升级你的系统!的更多相关文章

  1. ASP.NET微信支付XXE漏洞修复

    1. XXE场景 关于XML解析存在的安全问题指引 微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件 ...

  2. Struts2漏洞拉响网站安全红色警报以及把Struts2更新为最新版本Struts2.3.15.1步骤

    360网站安全检测平台今日发布红色警报称,广泛应用在国内大型网站系统的Struts2框架正在遭到黑客猛烈攻击.利用Struts2“命令执行漏洞”,黑客可轻易获得网站服务器ROOT权限.执行任意命令,从 ...

  3. OpenSSL再爆多处高危漏洞

    OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/ 受影响的版本包括: OpenSSL 1.0 ...

  4. 【更新WordPress 4.6漏洞利用PoC】PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)

    [2017.5.4更新] 昨天曝出了两个比较热门的漏洞,一个是CVE-2016-10033,另一个则为CVE-2017-8295.从描述来看,前者是WordPress Core 4.6一个未经授权的R ...

  5. “织梦”CMS注入高危漏洞情况

    "织梦"CMS注入高危漏洞情况 作者:    时间:2014-04-17   "织梦"CMS是由上海卓卓网络科技有限公司研发的一款网站建站系统软件,又称&quo ...

  6. L2-013 红色警报 (25 分) (并查集)

    链接:https://pintia.cn/problem-sets/994805046380707840/problems/994805063963230208 题目: 战争中保持各个城市间的连通性非 ...

  7. 微信支付的安全漏洞之XXE

    1.场景:国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵(绕过支付的效果).目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌.vivo因使用该SDK而存在该漏洞 ...

  8. Oracle数据库XXE注入漏洞(CVE-2014-6577)分析

    在这篇文中,我们将共同分析一下Oracle数据库的XXE注入漏洞(CVE-2014-6577),Oracle公司1月20日发布了针对该漏洞的相关补丁. 有关XXE的相关知识,可以查看安全脉搏站内的另一 ...

  9. PAT L2-013 红色警报(并查集求连通子图)

    战争中保持各个城市间的连通性非常重要.本题要求你编写一个报警程序,当失去一个城市导致国家被分裂为多个无法连通的区域时,就发出红色警报.注意:若该国本来就不完全连通,是分裂的k个区域,而失去一个城市并不 ...

随机推荐

  1. 【C++】undered_map的用法总结(1)

    1.介绍 unordered_map是一个关联容器,内部采用的是hash表结构,拥有快速检索的功能. 1.1 特性 关联性:通过key去检索value,而不是通过绝对地址(和顺序容器不同)无序性:使用 ...

  2. intelliJ idea如何安装、配置

    https://www.cnblogs.com/jajian/p/7989032.html

  3. OO_多线程电梯_单元总结

    概述: 面向对象的第二单元是多线程电梯.第一次实现一部傻瓜电梯,每次只送一个人:第二次实现一部可稍带电梯:第三次实现三部可稍带电梯. 一.设计策略 1.第5.6次作业设计思路 第5.6次作业的架构相似 ...

  4. taro安装使用 Node Sass does not yet support your current environment: Windows 64-bit with Unsupported runtime (64)错误

    1.  安装node.js 官网下载:https://nodejs.org/en/  下载推荐版本: 2.  Npm安装慢,可以使用cnpm,安装淘宝镜像: npm install -g cnpm - ...

  5. selenium之 chromedriver与chrome版本映射表(更新至v2.46)

    chromedriver版本 支持的Chrome版本 v2.46 v71-73 v2.45 v70-72 v2.44 v69-71 v2.43 v69-71 v2.42 v68-70 v2.41 v6 ...

  6. VBA实现表单自动编号

    效果:每次提交或刷新标段,表单案指定格式实现自动编号.如当天日期加数字编号的格式 即 2019年2月3日产生的第一张表单产生的编号格式为20190203-001 以此类推第二张表单编号为2019020 ...

  7. Redis5种常用的数据结构

    一.数据结构 五种常用的数据结构:string.hash.list.set.zse,以及三种不常用的:hyperloglog.geospatial.streams. 二.常用数据结构的使用 1.Str ...

  8. if(变量)的判断

    变量如果不为0,null,undefined,false,都会被处理为true.只要变量有非0的值或是某个对象,数组,字符串,都会认为true

  9. filebeat 收集的进度日志查看

    filebeat 收集的日志进度和文件在data 目录中是有保存的 默认路径地址: /usr/share/filebeat/data 里面有两个文件: meta.json:{"uuid&qu ...

  10. jquery基础知识随笔

    <html> <head> <script type="text/javascript" src="/jquery/jquery.js&qu ...