微信提示商家排查漏洞,“不必过度惶恐”,并发布安全问题指引与检讨修复建议。
零售老板内参独家专稿 未经容许不得转载
近日,关于微信支付存在安全漏洞的,引发商户们的关注谈论,乃至惶恐。
7月3日,有用户在安全社区公布了微信支付官方SDK(软件工具开拓包)存在的漏洞,此漏洞可导致商家做事器被入侵,一旦攻击者得到商家的关键安全密钥,攻击者可以盗取商家做事器的任何信息,通过发送假造信息来欺骗商家,无需给商家付款即可白拿任何东西,也便是所谓的“0元购”。
漏洞曝出后,7月5日,微信支付官方对外表示漏洞已修复,商家不必过度惶恐。
至今,该安全漏洞被曝光已20天,有安全技能职员做了测试演示后创造,大量商户依然暴露在漏洞下。由于该漏洞涉及安全技能问题非常专业,商户不知道详细如何操作,及时更新修复漏洞、规避风险,因此产生疑虑,乃至惶恐。
对付商户的疑虑和关怀,微信方面昨日回答《零售老板内参》APP(微信ID:lslb168),称“该漏洞为常见漏洞,这次问题做事器实际影响范围不大,完备可控”,微信针对漏洞问题已经发布了《关于XML解析存在的安全问题指引》,并供应了《检讨及修复建议》。
然而,在一些谈论此事的网络社区和社群中,根据安全技能职员的提示,笔者从代码托管平台上搜索创造大量商户漏洞依然存在,不少商户的漏洞并未得到修复和掌握。
- 1 -
安全漏洞:遭攻击可不付款白拿,乃至泄露商户的消费者信息
上述安全漏洞问题,究竟是怎么一回事呢?
安全技能专家、斗象科技联合创始人谢忱阐明,从当前被公开的漏洞信息来看,网络攻击者可利用了微信支付官方SDK(软件工具开拓包)存在的漏洞,将自己伪装成“微信支付平台”,继而通过微信的漏洞实现假造与商户的直接通信,在修改微信的正常通信信息后达到“偷梁换柱”的目的。
谢忱先容,正常的支付流程该当是由用户发起,经由微信支付平台到达商家,商家会有一个与微信支付平台确认支付结果的过程,而网络攻击者正好是利用了干系漏洞“骗”过了商户。一些商家的安全防护水平较低,攻击者获取该商户的密钥,再通过这个漏洞就可以实现“0元购”等操作,严重者还可能会导致商户的消费者信息等数据内容泄露。
对付安全漏洞问题,微信方面回答《零售老板内参》APP(微信ID:lslb168)说,本次漏洞实质为商户自身做事器后台系统中存在XML外部实体注入漏洞(简称XXE),微信支付技能安全团队第一韶光关注及排查,并已对官方网站上受影响的做事器端SDK漏洞进行更新,修复了已知的安全漏洞,并已提醒商户及时更新。
微信方面表示,“该漏洞为常见漏洞,只要在程序吸收到XML数据进行解析之前,调用干系的函数关闭XML措辞的上述特性即可有效戒备和解决。目前已经启动商户的安全提示,提示商户主动排查其自建系统是否存在该漏洞,并给出修复指引,进行帮忙。”
- 2 -
安全漏洞已修复?实测大量商户仍暴露在漏洞下
微信表示修复了已知的安全漏洞,商家不必过度惶恐。
然而,在一些网络社区和社群中,针对此漏洞的谈论和疑虑仍在蔓延。笔者根据网络社区和社群中参与谈论的安全技能职员的提示,在代码托管平台Github、码云上,征采漏洞函数以及notify关键字等,很随意马虎就能找到存在漏洞的商家。
安全技能职员先容,如代码中涌现“notify_url=http://xxx”,涌现这个往后不用看代码逻辑,可进行黑盒批量测试进行捡漏;创造notify接口函数调用了微信sdk存在漏洞版本的WXPayUtil.xmlToMap函数,或者商户自己实现xml解析函数但未禁用外部实体,这样的商户依然存在漏洞。经搜索和比拟,创造了大量的商家漏洞仍旧存在。
- 3 -
商户如何规避风险?微信发布安全问题指引及修复建议
由于微信支付接入的商家数量达到上百万,利用微信支付老版本的商户自然不在少数。虽然微信官方更新了系统,不过,《零售老板内参》讯问一些零售商户理解到,由于商户平台并非须要每天登录,目前还有不少商户并不知晓有此更新,乃至有些集成商户由于集成商没有关照,导致他们至今不知道该如何是好。
这些安全技能问题对小微商户来讲,普遍有一定难度,他们不清楚详细该如何操作才能规避漏洞和风险。这也是目前商户存在惶恐感情的缘故原由。
对此,微信方面向《零售老板内参》表示,微信目前已经启动商户的安全提示,提示商户主动排查其自建系统是否存在该漏洞,并给出修复指引进行帮忙,“正在加快客服与商户的沟通,紧张是勾引规避漏洞”。
此外,微信支付会帮忙商户创造和打消安全问题,共同提升移动支付整体安全性,并已发布了《关于XML解析存在的安全问题指引》(可以点击进入微信支付商户平台查看:
https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5
《安全问题指引》向商户强调,“如果你在利用支付业务回调关照中,存在以了局景有利用XML解析的情形,请务必检讨是否对进行了戒备。”
个中,包括以下5大紧张场景:
场景1:支付成功关照;
场景2:退款成功关照;
场景3:委托代扣签约、解约、扣款关照;
场景4:车主解约关照;
场景5:扫码支付模式一回调;
(注:APP支付的用户端SDK不受影响,但APP支付成功回调关照里面要检讨。)
同时,由于微信支付商家用户数量规模弘大,一些小微商户和零售老板们反响,不知道在哪些渠道获取详细操作信息。如何奉告商户,如何确保商户都能确实收到更新关照信息?
微信方面回答称,微信支付会通过以下几个别系号码,关照商户进行安全周知和讯问是否授权平台进行安全扫描:(0755)36560292、(0755)61954612、(0755)61954613、(0755)61954614、(0755)61954615、(0755)61954616。
此外,微信方面还提示了“检讨及修复建议”:
1.如果您的后台系统利用了官方SDK,请更新SDK到最新版本 SDK的链接:
https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1
2.如果您是有系统供应商,请联系供应商进行核查和升级修复;
3.如果您是自研系统,请联系技能部门按以下指引核查和修复:
- 4 -
如商户遭攻击造成资金丢失是否赔偿?微信尚未明确回答
随着消费零售行业移动互联网运用的遍及,越来越多的线下商户开始向网上迁移,而实际上,利用了大平台供应的接口和工具的这些商户“互联网+”水平非常有限,尤其是应对网络安全等技能能力。
由于须要商家自己来完成排查和更新的操作,也不少商户还是提出了新的疑问:如果没有接到关照的商户,或者在接到关照更新期间被攻击了,以及更新操作未成功等,致使安全漏洞问题依旧存在,微信是否会承担相应的任务?如果由于安全漏洞问题造成资金丢失的话,微信是否会给予商户赔偿?微信是否针对这一安全漏洞风险制订了相应的赔偿机制?
对付商户的这一疑问和顾虑,目前,微信方面尚未给出明确答复。
鉴于当前“0元购”的安全漏洞和风险依然暴露,在此提醒广大商户和老板们赶紧自查更新,微信平台关照并帮忙商户修复漏洞,以免商户遭受攻击而造成资金和财产丢失。
