最佳安全实践
XML解析存在的安全问题修复指引
商户接收回调通知URL对应的程序代码,如果不遵循安全规范,将会有XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。
XXE的攻击原理:外界攻击者通过模拟回调通知,在回调通知中引入不安全的XML,即可在商户服务器上执行系统命令。
XXE漏洞可能带来的危害:外界攻击者可读取商户服务器上的任意文件;执行系统命令;探测内网端口;攻击内网网站。商户可能出现资金损失的情况,所以请贵司重视,必须修复漏洞。
如果你有使用以下任意场景的回调业务,且回调URL对应的程序代码有使用XML组件解析内容的情况,请务必检查其是否对XXE漏洞进行了防范。
场景1:支付成功通知:notify_url参数值对应的URL;
场景2:退款成功通知:notify_url参数值对应的URL;
场景3:委托代扣签约、解约、扣款通知;
场景4:车主解约通知;
场景5:扫码支付模式一回调:在商户平台(pay.weixin.qq.com)-->产品中心-->开发配置-->支付配置-->扫码支付-->支付回调链接;
注:APP支付的用户端SDK不受影响,但需检查支付回调通知URL对应的程序代码。
举例:需检查统一下单接口中传的notify_url参数,排查该URL对应的程序代码是否有XXE漏洞。
<xml>
<appid>wx2421b1c4370ec43b</appid>
<attach>支付测试</attach>
<body>JSAPI支付测试</body>
<mch_id>10000100</mch_id>
<nonce_str>1add1a30ac87aa2db72f57a2375d8fec</nonce_str>
<notify_url>http://wxpay.wxutil.com/pub_v2/pay/notify.v2.php</notify_url>
<openid>oUpF8uMuAJO_M2pxb1Q9zNjWeS6o</openid>
<out_trade_no>1415659990</out_trade_no>
<spbill_create_ip>14.23.150.211</spbill_create_ip>
<total_fee>1</total_fee>
<trade_type>JSAPI</trade_type>
<sign>0CB01533B8C1EF103065174F50BCA001</sign>
</xml>
检查方法
使用贵司商户号登录商户平台(pay.weixin.qq.com),进入【产品中心】-->【安全医生】,开通安全医生后即可自助进行安全检测(免费开通)。
修复建议
1.如果您的后台系统使用了官方SDK,请更新SDK到最新版本(SDK下载链接:http://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1)
2.如果您是有系统提供商,请联系提供商进行核查和升级修复;
3.如果您是自研系统,请联系技术部门按以下指引核查和修复;
4.如果您的收款系统已不再使用,请将回调URL的服务删除;
5.采用主动查单,不再使用回调。
温馨提醒:
因XXE属于高危漏洞,如贵司一直未修复,将被停止部分功能权限或停交易权限。
如果贵司(或贵司的技术服务商)无法修复漏洞,可以更换无漏洞的支付系统(比如使用微信收款商业版收款或其他服务商收款系统)。
如果以下方法不能解决您的问题,可进入微信支付在线技术支持页面,微信扫码登录后输入“人工”,选择问题分类为“其他问题”-“商户安全”与我们联系,我们将协助贵司修复。
2.如果您是有系统提供商,请联系提供商进行核查和升级修复;
3.如果您是自研系统,请联系技术部门按以下指引核查和修复;
4.如果您的收款系统已不再使用,请将回调URL的服务删除;
5.采用主动查单,不再使用回调。
温馨提醒:
因XXE属于高危漏洞,如贵司一直未修复,将被停止部分功能权限或停交易权限。
如果贵司(或贵司的技术服务商)无法修复漏洞,可以更换无漏洞的支付系统(比如使用微信收款商业版收款或其他服务商收款系统)。
如果以下方法不能解决您的问题,可进入微信支付在线技术支持页面,微信扫码登录后输入“人工”,选择问题分类为“其他问题”-“商户安全”与我们联系,我们将协助贵司修复。
Q&A
请见:XXE修复相关的Q&A
修复方法
XXE漏洞的修复方法,是在解析XML之前加入禁用实体解析的代码。不同开发语言和XML组件对应的修复方法不同,您需要根据自身程序代码的情况,选择对应的修复方法。下面提供了几种常见开发语言和XML组件的修复指引,更多语言和XML组件的修复指引可参考:https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#C.2FC.2B.2B
【PHP】 解析XML代码前加入:
2.9版本以上已修复XXE
【Coldfusion/lucee和node.js】
请更新到库的最新版本
【libxerces-c】:
如果用的是XercesDOMParser:
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#C.2FC.2B.2B
【PHP】 解析XML代码前加入:
libxml_disable_entity_loader(true); //关键代码
$xml = simplexml_load_string($xmlContent);
......
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException; // catching unsupported features
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
String FEATURE = null;
try {
// This is the PRIMARY defense. If DTDs (doctypes) are disallowed, almost all XML entity attacks are prevented
// Xerces 2 only - http://xerces.apache.org/xerces2-j/features.html#disallow-doctype-decl
FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
dbf.setFeature(FEATURE, true);
// If you can't completely disable DTDs, then at least do the following:
// Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-general-entities
// Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-general-entities
// JDK7+ - http://xml.org/sax/features/external-general-entities
FEATURE = "http://xml.org/sax/features/external-general-entities";
dbf.setFeature(FEATURE, false);
// Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-parameter-entities
// Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-parameter-entities
// JDK7+ - http://xml.org/sax/features/external-parameter-entities
FEATURE = "http://xml.org/sax/features/external-parameter-entities";
dbf.setFeature(FEATURE, false);
// Disable external DTDs as well
FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
dbf.setFeature(FEATURE, false);
// and these as well, per Timothy Morgan's 2014 paper: "XML Schema, DTD, and Entity Attacks"
dbf.setXIncludeAware(false);
dbf.setExpandEntityReferences(false);
// And, per Timothy Morgan: "If for some reason support for inline DOCTYPEs are a requirement, then
// ensure the entity settings are disabled (as shown above) and beware that SSRF attacks
// (http://cwe.mitre.org/data/definitions/918.html) and denial
// of service attacks (such as billion laughs or decompression bombs via "jar:") are a risk."
// remaining parser logic
} catch (ParserConfigurationException e) {
// This should catch a failed setFeature feature
logger.info("ParserConfigurationException was thrown. The feature '" +
FEATURE + "' is probably not supported by your XML processor.");
}
catch (SAXException e) {
// On Apache, this should be thrown when disallowing DOCTYPE
logger.warning("A DOCTYPE was passed into the XML document");
}
catch (IOException e) {
// XXE that points to a file that doesn't exist
logger.error("IOException occurred, XXE may still possible: " + e.getMessage());
}
DocumentBuilder safebuilder = dbf.newDocumentBuilder();
XmlDocument doc= new XmlDocument();
doc.XmlResolver = null;//关键代码
......
Set xmldom = Server.CreateObject("MSXML2.DOMDocument")
xmldom.resolveExternals = false '关键代码
......
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
......
2.9版本以上已修复XXE
【Coldfusion/lucee和node.js】
请更新到库的最新版本
【libxerces-c】:
如果用的是XercesDOMParser:
XercesDOMParser *parser = new XercesDOMParser;
parser->setCreateEntityReferenceNodes(false);
SAXParser* parser = new SAXParser;
parser->setDisableDefaultEntityResolution(true);
SAX2XMLReader* reader = XMLReaderFactory::createXMLReader();
parser->setFeature(XMLUni::fgXercesDisableDefaultEntityResolution, true);https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#C.2FC.2B.2B