微信支付曝安全漏洞20天

近日币旧，關(guān)于微信支付存在安全漏洞的消息，引發(fā)商戶們的關(guān)注討論班套，甚至恐慌肢藐。   　　7月3日，有用戶在安全社區(qū)公布了微信支付官方SDK(軟件工具開(kāi)發(fā)包)存在的漏洞吱韭，此漏洞可導(dǎo)致商家服務(wù)器被入侵吆豹，一旦攻擊者獲得商家的關(guān)鍵安全密鑰，攻擊者可以竊取商家服務(wù)器的任何信息理盆，通過(guò)發(fā)送偽造信息來(lái)欺騙商家痘煤，無(wú)需給商家付款即可白拿任何東西，也就是所謂的“0元購(gòu)”猿规。   　　漏洞消息曝出后衷快，7月5日，微信支付官方對(duì)外表示漏洞已修復(fù)姨俩，商家不必過(guò)度恐慌蘸拔。   　　至今，該安全漏洞被曝光已20天环葵，有安全技術(shù)人員做了測(cè)試演示后發(fā)現(xiàn)都伪，大量商戶依然暴露在漏洞下。由于該漏洞涉及安全技術(shù)問(wèn)題非常專業(yè)积担，商戶不知道具體如何操作，及時(shí)更新修復(fù)漏洞猬仁、規(guī)避風(fēng)險(xiǎn)帝璧，因此產(chǎn)生疑慮先誉，甚至恐慌。   　　微信支付曝安全漏洞20天的烁，百萬(wàn)商戶“裸奔”褐耳，可不付款“0元購(gòu)”   　　微信支付安全漏洞在商戶群引發(fā)恐慌。   　　對(duì)于商戶的疑慮和關(guān)切渴庆，微信方面昨日回復(fù)《零售老板內(nèi)參》APP（微信ID：lslb168）铃芦，稱“該漏洞為常見(jiàn)漏洞，此次問(wèn)題服務(wù)器實(shí)際影響范圍不大襟雷，完全可控”刃滓，微信針對(duì)漏洞問(wèn)題已經(jīng)發(fā)布了《關(guān)于XML解析存在的安全問(wèn)題指引》，并提供了《檢查及修復(fù)建議》耸弄。   　　然而咧虎，在一些討論此事的網(wǎng)絡(luò)社區(qū)和社群中，根據(jù)安全技術(shù)人員的提示计呈，筆者從代碼托管平臺(tái)上搜索發(fā)現(xiàn)大量商戶漏洞依然存在砰诵，不少商戶的漏洞并未得到修復(fù)和控制。   　　- 1 -   　　安全漏洞：遭攻擊可不付款白拿捌显，甚至泄漏商戶的消費(fèi)者信息   　　上述安全漏洞問(wèn)題茁彭，究竟是怎么一回事呢？   　　安全技術(shù)專家扶歪、斗象科技聯(lián)合創(chuàng)始人謝忱解釋理肺，從當(dāng)前被公開(kāi)的漏洞信息來(lái)看，網(wǎng)絡(luò)攻擊者可利用了微信支付官方SDK（軟件工具開(kāi)發(fā)包）存在的漏洞击罪，將自己偽裝成“微信支付平臺(tái)”哲嘲，繼而通過(guò)微信的漏洞實(shí)現(xiàn)偽造與商戶的直接通信，在篡改微信的正常通信信息后達(dá)到“偷梁換柱”的目的媳禁。   　　謝忱介紹眠副，正常的支付流程應(yīng)該是由用戶發(fā)起，經(jīng)由微信支付平臺(tái)到達(dá)商家竣稽，商家會(huì)有一個(gè)與微信支付平臺(tái)確認(rèn)支付結(jié)果的過(guò)程囱怕，而網(wǎng)絡(luò)攻擊者恰恰是利用了相關(guān)漏洞“騙”過(guò)了商戶。一些商家的安全防護(hù)水平較低毫别，攻擊者獲取該商戶的密鑰娃弓，再通過(guò)這個(gè)漏洞就可以實(shí)現(xiàn)“0元購(gòu)”等操作，嚴(yán)重者還可能會(huì)導(dǎo)致商戶的消費(fèi)者信息等數(shù)據(jù)內(nèi)容泄漏岛宦。   　　微信支付曝安全漏洞20天台丛，百萬(wàn)商戶“裸奔”，可不付款“0元購(gòu)”   　　支付安全漏洞“0元購(gòu)”等操作，嚴(yán)重者還可能會(huì)導(dǎo)致商戶的消費(fèi)者信息等數(shù)據(jù)內(nèi)容泄漏挽霉。   　　對(duì)于安全漏洞問(wèn)題防嗡，微信方面回復(fù)《零售老板內(nèi)參》APP（微信ID：lslb168）說(shuō)，本次漏洞本質(zhì)為商戶自身服務(wù)器后臺(tái)系統(tǒng)中存在XML外部實(shí)體注入漏洞(簡(jiǎn)稱XXE)侠坎，微信支付技術(shù)安全團(tuán)隊(duì)第一時(shí)間關(guān)注及排查蚁趁，并已對(duì)官方網(wǎng)站上受影響的服務(wù)器端SDK漏洞進(jìn)行更新，修復(fù)了已知的安全漏洞实胸，并已提醒商戶及時(shí)更新他嫡。   　　微信方面表示，“該漏洞為常見(jiàn)漏洞庐完，只要在程序接收到XML數(shù)據(jù)進(jìn)行解析之前钢属，調(diào)用相關(guān)的函數(shù)關(guān)閉XML語(yǔ)言的上述特性即可有效防范和解決。目前已經(jīng)啟動(dòng)商戶的安全提示假褪，提示商戶主動(dòng)排查其自建系統(tǒng)是否存在該漏洞署咽，并給出修復(fù)指引，進(jìn)行協(xié)助生音。”   　　- 2 -   　　安全漏洞已修復(fù)宁否？實(shí)測(cè)大量商戶仍暴露在漏洞下   　　微信表示修復(fù)了已知的安全漏洞，商家不必過(guò)度恐慌缀遍。   　　然而慕匠，在一些網(wǎng)絡(luò)社區(qū)和社群中，針對(duì)此漏洞的討論和疑慮仍在蔓延域醇。筆者根據(jù)網(wǎng)絡(luò)社區(qū)和社群中參與討論的安全技術(shù)人員的提示台谊，在代碼托管平臺(tái)Github、碼云上譬挚，搜尋漏洞函數(shù)以及notify關(guān)鍵字等锅铅，很容易就能找到存在漏洞的商家。   　　微信支付曝安全漏洞20天减宣，百萬(wàn)商戶“裸奔”盐须，可不付款“0元購(gòu)”   　　微信支付安全漏洞依舊存在。   　　安全技術(shù)人員介紹漆腌，如代碼中出現(xiàn)“notify_url=http://xxx”贼邓，出現(xiàn)這個(gè)以后不用看代碼邏輯，可進(jìn)行黑盒批量測(cè)試進(jìn)行撿漏闷尿；發(fā)現(xiàn)notify接口函數(shù)調(diào)用了微信sdk存在漏洞版本的WXPayUtil.xmlToMap函數(shù)塑径，或者商戶自己實(shí)現(xiàn)xml解析函數(shù)但未禁用外部實(shí)體，這樣的商戶依然存在漏洞填具。經(jīng)搜索和對(duì)比统舀，發(fā)現(xiàn)了大量的商家漏洞仍然存在。   　　- 3 -   　　商戶如何規(guī)避風(fēng)險(xiǎn)？微信發(fā)布安全問(wèn)題指引及修復(fù)建議   　　由于微信支付接入的商家數(shù)量達(dá)到上百萬(wàn)绑咱，使用微信支付老版本的商戶自然不在少數(shù)绰筛。雖然微信官方更新了系統(tǒng)，不過(guò)描融，《零售老板內(nèi)參》詢問(wèn)一些零售商戶了解到，由于商戶平臺(tái)并非需要每天登錄衡蚂，目前還有不少商戶并不知曉有此更新窿克，甚至有些集成商戶由于集成商沒(méi)有通知，導(dǎo)致他們至今不知道該如何是好毛甲。   　　這些安全技術(shù)問(wèn)題對(duì)小微商戶來(lái)講年叮，普遍有一定難度，他們不清楚具體該如何操作才能規(guī)避漏洞和風(fēng)險(xiǎn)玻募。這也是目前商戶存在恐慌情緒的原因只损。   　　對(duì)此，微信方面向《零售老板內(nèi)參》表示七咧，微信目前已經(jīng)啟動(dòng)商戶的安全提示跃惫，提示商戶主動(dòng)排查其自建系統(tǒng)是否存在該漏洞，并給出修復(fù)指引進(jìn)行協(xié)助艾栋，“正在加快客服與商戶的溝通爆存，主要是引導(dǎo)規(guī)避漏洞”。   　　此外蝗砾，微信支付會(huì)協(xié)助商戶發(fā)現(xiàn)和排除安全問(wèn)題先较，共同提升移動(dòng)支付整體安全性，并已發(fā)布了《關(guān)于XML解析存在的安全問(wèn)題指引》（可以點(diǎn)擊進(jìn)入微信支付商戶平臺(tái)查看：   　　https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5   　　《安全問(wèn)題指引》向商戶強(qiáng)調(diào)悼粮，“如果你在使用支付業(yè)務(wù)回調(diào)通知中闲勺，存在以下場(chǎng)景有使用XML解析的情況，請(qǐng)務(wù)必檢查是否對(duì)進(jìn)行了防范扣猫。”   　　其中菜循，包括以下5大主要場(chǎng)景：   　　場(chǎng)景1：支付成功通知；   　　場(chǎng)景2：退款成功通知苞笨；   　　場(chǎng)景3：委托代扣簽約债朵、解約、扣款通知瀑凝；   　　場(chǎng)景4：車主解約通知序芦；   　　場(chǎng)景5：掃碼支付模式一回調(diào)；   　≡吝洹（注：APP支付的用戶端SDK不受影響谚中，但APP支付成功回調(diào)通知里面要檢查。）   　　同時(shí)，由于微信支付商家用戶數(shù)量規(guī)模龐大宪塔，一些小微商戶和零售老板們反映磁奖，不知道在哪些渠道獲取具體操作信息。如何告知商戶某筐，如何確保商戶都能確實(shí)收到更新通知信息比搭？   　　微信方面回復(fù)稱，微信支付會(huì)通過(guò)以下幾個(gè)系統(tǒng)號(hào)碼南誊，通知商戶進(jìn)行安全周知和詢問(wèn)是否授權(quán)平臺(tái)進(jìn)行安全掃描：(0755)36560292身诺、(0755)61954612、(0755)61954613抄囚、(0755)61954614霉赡、(0755)61954615、(0755)61954616幔托。   　　此外穴亏，微信方面還提示了“檢查及修復(fù)建議”：   　　1.如果您的后臺(tái)系統(tǒng)使用了官方SDK，請(qǐng)更新SDK到最新版本 SDK的鏈接:   　　https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1   　　2.如果您是有系統(tǒng)提供商重挑，請(qǐng)聯(lián)系提供商進(jìn)行核查和升級(jí)修復(fù)嗓化；   　　3.如果您是自研系統(tǒng)，請(qǐng)聯(lián)系技術(shù)部門(mén)按以下指引核查和修復(fù)：   　　- 4 -   　　如商戶遭攻擊造成資金損失是否賠償攒驰？微信尚未明確回復(fù)   　　隨著消費(fèi)零售行業(yè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用的普及蟆湖，越來(lái)越多的線下商戶開(kāi)始向網(wǎng)上遷移，而實(shí)際上玻粪，使用了大平臺(tái)提供的接口和工具的這些商戶“互聯(lián)網(wǎng)+”水平非常有限隅津，尤其是應(yīng)對(duì)網(wǎng)絡(luò)安全等技術(shù)能力。   　　由于需要商家自己來(lái)完成排查和更新的操作劲室，也不少商戶還是提出了新的疑問(wèn)：如果沒(méi)有接到通知的商戶伦仍，或者在接到通知更新期間被攻擊了，以及更新操作未成功等很洋，致使安全漏洞問(wèn)題依舊存在充蓝，微信是否會(huì)承擔(dān)相應(yīng)的責(zé)任？如果因?yàn)榘踩┒磫?wèn)題造成資金損失的話喉磁，微信是否會(huì)給予商戶賠償谓苟？微信是否針對(duì)這一安全漏洞風(fēng)險(xiǎn)制定了相應(yīng)的賠償機(jī)制？   　　對(duì)于商戶的這一疑問(wèn)和顧慮协怒，目前涝焙，微信方面尚未給出明確答復(fù)。   　　鑒于當(dāng)前“0元購(gòu)”的安全漏洞和風(fēng)險(xiǎn)依然暴露孕暇，在此提醒廣大商戶和老板們趕緊自查更新仑撞，微信平臺(tái)通知并協(xié)助商戶修復(fù)漏洞赤兴，以免商戶遭受攻擊而造成資金和財(cái)產(chǎn)損失。