php微信支付漏洞,微信支付的SDK曝出重大漏洞（XXE漏洞）

一、背景

昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞)&＃xff0c;通过该漏洞&＃xff0c;攻击者可以获取服务器中目录结构、文件内容&＃xff0c;如代码、各种私钥等。获取这些信息以后&＃xff0c;攻击者便可以为所欲为&＃xff0c;其中就包括众多媒体所宣传的“0元也能买买买”。

漏洞报告地址&＃xff1b;http://seclists.org/fulldisclosure/2018/Jul/3

二、漏洞原理

1.  XXE漏洞

此次曝出的漏洞属于XXE漏洞&＃xff0c;即XML外部实体注入(XML External Entity Injection)。

XML文档除了可以包含声明和元素以外&＃xff0c;还可以包含文档类型定义(即DTD)&＃xff1b;如下图所示。

在DTD中&＃xff0c;可以引进实体&＃xff0c;在解析XML时&＃xff0c;实体将会被替换成相应的引用内容。该实体可以由外部引入(支持http、ftp等协议&＃xff0c;后文以http为例说明)&＃xff0c;如果通过该外部实体进行攻击&＃xff0c;就是XXE攻击。

可以说&＃xff0c;XXE漏洞之所以能够存在&＃xff0c;本质上在于在解析XML的时候&＃xff0c;可以与外部进行通信&＃xff1b;当XML文档可以由攻击者任意构造时&＃xff0c;攻击便成为可能。在利用XXE漏洞可以做的事情当中&＃xff0c;最常见最容易实现的&＃xff0c;便是读取服务器的信息&＃xff0c;包括目录结构、文件内容等&＃xff1b;本次微信支付爆出的漏洞便属于这一种。

2.  微信支付漏洞

本次漏洞影响的范围是&＃xff1a;在微信支付异步回调接口中&＃xff0c;使用微信支付SDK进行XML解析的应用。注意这里的SDK是服务器端的SDK&＃xff0c;APP端使用SDK并不受影响。

SDK下载地址如下(目前微信官方宣传漏洞已修复)&＃xff1a;https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip

SDK中导致漏洞的代码是WXPayUtil工具类中的xmlToMap()方法&＃xff1a;

如上图所示&＃xff0c;由于在解析XML时没有对外部实体的访问做任何限制&＃xff0c;如果攻击者恶意构造xml请求&＃xff0c;便可以对服务器进行攻击。下面通过实例介绍攻击的方法。

3.  攻击复现

下面在本机环境下进行复现。

假设本地的web服务器127.0.0.1:8080中存在POST接口&＃xff1a;/wxpay/callback&＃xff0c;该接口中接收xml字符串做参数&＃xff0c;并调用前述的WXPayUtil.xmlToMap(strXml)对xml参数进行解析。此外&＃xff0c;/etc/password中存储了重要的密码数据(如password1234)。

攻击时构造的请求如下&＃xff1a;

其中xml内容如下&＃xff1a;

其中/etc/password为要窃取的对象&＃xff0c;http://127.0.0.1:9000/xxe.dtd为攻击者服务器中的dtd文件&＃xff0c;内容如下&＃xff1a;

通过xml&＃43;dtd文件&＃xff0c;攻击者便可以的服务器http://127.0.0.1:9000中会收到如下请求&＃xff1a;

http://127.0.0.1:9000/evil/password1234

这样&＃xff0c;攻击者便得到了/etc/password文件的内容。

在本例中&＃xff0c;攻击者窃取了/etc/password文件中的内容&＃xff0c;实际上攻击者还可以获取服务器中的目录结构以及其他文件&＃xff0c;只要启动web应用的用户具有相应的读权限。如果获取的信息比较复杂&＃xff0c;如包含特殊符号&＃xff0c;无法直接通过http的URL发送&＃xff0c;则可以采用对文件内容进行Base64编码等方法解决。

三、漏洞的解决

解决该漏洞的原理非常简单&＃xff0c;只要禁止解析XML时访问外部实体即可。

漏洞曝出以后&＃xff0c;微信进行了紧急修复&＃xff0c;一方面是更新了SDK&＃xff0c;并提醒开发者使用最新的SDK&＃xff1b;SDK中修复代码如下&＃xff1a;

加入了如下两行代码&＃xff1a;

此外&＃xff0c;微信官方也给出了关于XXE漏洞的最佳安全实践&＃xff0c;可以参考&＃xff1a;

笔者本人使用上述方案中建议的如下代码修复了该漏洞&＃xff1a;

四、扩展与反思

1.  危害不只是“0元也能买买买”

在很多媒体的报道中&＃xff0c;强调该漏洞的风险在于攻击者可以不支付也可以获得商品。攻击者在通过上述漏洞获得微信支付的秘钥以后&＃xff0c;有不止一种途径可以做到不支付就获得商品&＃xff1a;例如&＃xff0c;攻击者首先在系统中下单&＃xff0c;获得商户订单号&＃xff1b;然后便可以调用微信支付的异步回调&＃xff0c;其中的签名参数便可以使用前面获取的秘钥对订单号等信息进行MD5获得&＃xff1b;这样攻击者的异步回调就可以通过应用服务器的签名认证&＃xff0c;从而获得商品。不过&＃xff0c;在很多有一定规模的购物网站(或其他有支付功能的网站)&＃xff0c;会有对账系统&＃xff0c;如定时将系统中的订单状态与微信、支付宝的后台对比&＃xff0c;如果出现不一致可以及时报警并处理&＃xff0c;因此该漏洞在这方面的影响可能并没有想象的那么大。

然而&＃xff0c;除了“0元也能买买买”&＃xff0c;攻击者可以做的事情还有很多很多&＃xff1b;理论上来说&＃xff0c;攻击者可能获得应用服务器上的目录结构、代码、数据、配置文件等&＃xff0c;可以根据需要进行进一步破坏。

2.  漏洞不限于微信支付SDK

虽然微信支付曝出该漏洞受到了广泛关注&＃xff0c;但该漏洞绝不仅仅存在于微信支付中&＃xff1a;由于众多XML解析器默认不会禁用对外部实体的访问&＃xff0c;因此应用的接口如果有以下几个特点就很容易掉进XXE漏洞的坑里&＃xff1a;

(1)接口使用xml做请求参数

(2)接口对外公开&＃xff0c;或容易获得&＃xff1a;例如一些接口提供给外部客户调用&＃xff0c;或者接口使用http很容易抓包&＃xff0c;或者接口比较容易猜到(如微信支付的异步回调接口)

(3)接口中解析xml参数时&＃xff0c;没有禁用对外部实体的访问

建议大家最好检查一下自己的应用中是否有类似的漏洞&＃xff0c;及时修复。

3.  xml与json

xml 与 json是系统间交互常用的两种数据格式&＃xff0c;虽然很多情况下二者可以互换&＃xff0c;但是笔者认为&＃xff0c;json 作为更加轻量级更加纯粹的数据格式&＃xff0c;更适合于系统间的交互&＃xff1b;而xml&＃xff0c;作为更加重量级更加复杂的数据格式&＃xff0c;其 DTD 支持自定义文档类型&＃xff0c;在更加复杂的配置场景下有着更好的效果&＃xff0c;典型的场景如 spring 相关的配置。

4.  题外话&＃xff1a;微信支付的签名认证

在前面曾经提到&＃xff0c;应用中存储的秘钥一旦泄露&＃xff0c;攻击者便可以完全绕过签名认证&＃xff0c;这是因为微信支付使用的是对称式的签名认证&＃xff1a;微信方和应用方&＃xff0c;使用相同的秘钥对相同的明文进行MD5签名&＃xff0c;只要应用方的秘钥泄露&＃xff0c;签名认证就完全成了摆设。

在这方面支付宝的做法更规范也更安全&＃xff1a;支付宝为应用生成公私钥对&＃xff0c;公钥由应用方保存&＃xff0c;私钥由支付宝保存&＃xff1b;在回调时&＃xff0c;支付宝使用私钥进行签名&＃xff0c;应用方使用公钥进行验证&＃xff1b;这样只要支付宝保存的私钥不泄露&＃xff0c;攻击者只有公钥则难以通过签名认证。

参考文献

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter&＃61;23_5

https://www.cnblogs.com/tongwen/p/5194483.html