漏洞信息来源
-
XXE in WeChat Pay Sdk ( WeChat leave a backdoor on merchant websites)
浏览上文也许需要科学上网,补充国内版本如下,PS:竟不翻译原文精彩副标题,遗憾~ - 微信支付SDK存在XXE漏洞
实践是检验真理的唯一标准
漏洞爆料者提供了详尽的攻击方案XXEinjector。依葫芦画瓢,接下来实践一手。
以下省略1万字,直接抛结果。
可将受攻击服务器数据扒个底朝天。。。。
你也能看懂的套路
接下来举个不甚恰当的例子,描述下XXE攻击流程:
- 一位毫无安全意识的宅男(Server)走在路上。
- 突然有可爱的小姐姐(Attacker)给递上一张传单,撒娇的问:“要学日语么?太阳好晒好辛苦,帮我填张表格好不好,么么哒~”
- 宅男毫无防备,顺着传单(Xml)提示(DocType)一股脑填了下去,什么姓名,性别,联系方式,身份证号码,银行卡号,银行卡密码.......,然后还给(FTP,HTTPS等)小姐姐,心满意足。
- 宅男回到家,发现银行卡余额空空。
- 宅男卒。
如何避免中枪
上文中卒掉的宅男,想逆天改命。只需要学习最基础的信息安全知识
不要对来历不明的人言听计从。
对程序也是同理,
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
网友评论