起因
微信支付接口安全提醒通知尊敬的微信支付商户: 您的系统在接受微信支付XML格式的商户回调通知(支付成功通知、退款成功通知、委托代扣签约/解约/扣款通知、车主解约通知)时,如未正确地进行安全设置或编码,将会引入有较大安全隐患的XML 外部实体注入漏洞(XML External Entity Injection,简称 XXE)。 请贵司研发人员务必参考微信支付安全实践指引,进行安全隐患确认和排除。 微信支付团队 2018年7月3号
相关解决方案
https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5
问题呈现
- 编写加载外部脚本的xml文件
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///C:\Users\WangYa\learn\juc\src\main\resources\test.txt" >]
>
<foo>&xxe;</foo>
外部文件内容为
hello world
- 解析xml
@Test
public void validateXXE() throws DocumentException {
SAXReader reader = new SAXReader();
Document read = reader.read(new File("C:\\Users\\WangYa\\learn\\juc\\src\\main\\resources\\xxe2.xml"));
Element rootElement = read.getRootElement();
String text = rootElement.getText();
log.info(text);
}
输出结果为
19:55:05.359 [main] INFO cn.wyj.learn.xxe.TestXxeBug - hello world
根据结果我们可以看到,在 xml 中 &xxe; 已经变成了外部文件中的 hello world,如果这个是值是关于金额交易相关的那么就非常危险了.
作为服务方如何检测自己客户是否存在 xxe 漏洞
- 下发带有标记的 xml 内容例如 http://localhost:8080/xxe/123 123 就是我们标记的内容
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "http://localhost:8080/xxe/123" >]
>
<foo>adsdf&xxe;</foo>
- 用服务器检测用户是否请求改地址
@RequestMapping("/xxe/{id}")
public String test(@PathVariable("id") String id) {
log.info("id:{}", id);
return "hello xxe";
}
- 假如客户端没有屏蔽外部dtd加载那么我们服务端就会输出
123
处理xxe漏洞
@Test
public void validateXXE3() throws IOException, DocumentException, SAXException {
SAXReader reader = new SAXReader();
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Document read = reader.read(new File("C:\\Users\\WangYa\\learn\\juc\\src\\main\\resources\\xxe3.xml"));
Element rootElement = read.getRootElement();
String text = rootElement.getText();
log.info(text);
}
运行结果
org.dom4j.DocumentException: Error on line 2 of document file:///C:/Users/WangYa/learn/juc/src/main/resources/xxe3.xml : 将功能 "http://apache.org/xml/features/disallow-doctype-decl" 设置为“真”时, 不允许使用 DOCTYPE。 Nested exception: 将功能 "http://apache.org/xml/features/disallow-doctype-decl" 设置为“真”时, 不允许使用 DOCTYPE。
重点说明,如果不清楚当前系统使用什么工具解析的xml 可以自己解析两遍也就是我们额外的解析一遍,然后再交给以前的业务去处理.由于服务端检测是以是否请求了该链接为判断依据所以必须要要将新的检测判断代码置于原来代码的之上
