导语:盘古实验室的技术专家通过测试后发现,大量商户依然暴露在漏洞下,很多对此甚至毫无感知,并非如官方所称的「完全可控」。这是怎么一回事呢?

7 月 3 日,一位疑似外国安全人员在 Twitter 上公开了微信支付的 SDK 存在重大漏洞(XXE 漏洞)。通过该漏洞,攻击者可以为所欲为,窃取商家服务器的任何信息。甚至可以通过发送伪造信息来欺骗商家而无需付费购买任何东西,也就是所谓的「0 元购」。

漏洞消息曝出后,微信支付官方对外表示漏洞已修复,商家不必过度恐慌。之后又进一步回复称,「该漏洞为常见漏洞,此次问题服务器实际影响范围不大,完全可控。」然而,事实可能并不像微信官方说的那样云淡风轻。如今漏洞被曝已过去十天,我们采访了盘古实验室的技术专家,通过测试后发现,大量商户依然暴露在漏洞下,很多对此甚至毫无感知,并非如官方所称的「完全可控」。这是怎么一回事呢?

亲测:影响并未可控大量商户仍暴露在漏洞下

在代码托管平台 Github、码云、和盘古的移动安全威胁数据平台 Janus 上,盘古实验室搜寻漏洞函数以及 notify 关键字等,很容易就能找到存在漏洞的商家。如代码中出现 notify_url=http://xxx,出现这个以后不用看代码逻辑,可进行黑盒批量测试进行捡漏;发现 notify 接口函数调用了微信 sdk 存在漏洞版本的 WXPayUtil.xmlToMap 函数,或者商户自己实现 xml 解析函数但未禁用外部实体。这样的商户就是依然存在漏洞的。

图片1.png

图片2.png

图片5.png

Janus平台:是盘古团队一个汇聚海量移动应用的平台,通过对应用进行分析,来发现不同应用之间的特征和关联关系,也称作移动应用威胁情报平台。】

Janus 的安全研究员们略加搜索后,发现如下商家漏洞仍存在:

00_16_04__07_14_2018.jpg

在以上商家中,包含多个移动应用定制开发平台,也就是说,使用这个平台开发的点餐、缴费系统的用户,都暴露在巨大的风险之中。盘古的 Janus 平台上的数据显示,同一商家可能开发多款应用,因此受影响的应用数量远远高于商户的数量。所以无论是商家还是开发者,都将承受巨大的风险考验。

图片4.png

由于微信支付接入的商家数量达到上百万,使用微信支付老版本的商户不在少数。虽然微信官方更新了系统,可是由于商户平台并非需要每天登陆的,很多商户并不知晓有此更新,甚至有些集成商户由于集成商没有任何通知,导致他们至今不知道该如何是好。所以目前在商家端,微信「0 元购」这个漏洞风险依然十分巨大,有被不法分子搬空的风险。不知道自己是否安全的商户,可以按这个办法搜索监测一下。

警示:+时代小商提高安全能力

随着「互联网+」时代的到来,越来越多的线下商户开始向网上迁移。实际上,使用了大平台提供的接口和工具的这些商户「互联网+」水平非常有限,尤其是应对网络安全的能力。这就要求大平台在面对漏洞等网络安全事故时,切实地对生态体系内的小商户负责其责任来,不是简单的自己一修了之。

鉴于目前「0 元购」的漏洞依然普遍存在,在这里呼吁:一是广大商户赶紧自查,二是微信应切实地负起责任来,通知并帮助相关商户修复漏洞。

源链接

Hacking more

...