出大事了老铁们，微信SDK爆出XXE任意文件读漏洞

40huo

本帖最后由 40huo 于 2018-7-3 10:11 编辑

老外的链接
http://seclists.org/fulldisclosure/2018/Jul/3

国外哥们测试了vivo和momo

In order to prove this, I got 2 chinese famous company:

   a、momo: Well-known chat tools like WeChat

   b、vivo ：China's famous mobile phone,that also famous in my country

[ol]

Example  momo :

  attack:

     notify url:    https://pay.immomo.com/weixin/notify

              cmd:  /home/

      result:

      ***

      logs

      zhang.jiax**

      zhang.shaol**

      zhang.xia**

      ****

    attack:

     notify url:    https://pay.immomo.com/weixin/notify

              cmd:  /home/logs

      result:

      ***

       moa-service

       momotrace

      ****

Example  vivo :

  attack:

     notify url:   https://pay.vivo.com.cn/webpay/wechat/callback.oo

              cmd: /home/

      result:

         tomcat

  attack:

     notify url:   https://pay.vivo.com.cn/webpay/wechat/callback.oo

              cmd: /home/tomcat

     result:

        .bash_logout

.bash_profile

.bashrc

logs

attack:

     notify url:   https://pay.vivo.com.cn/webpay/wechat/callback.oo

              cmd: /home/tomcat/logs

     result:

           ****

           tomcat-2018-06-28.log

  tomcat-2018-06-29.log

  tomcat-2018-06-30.log

           *****[/ol]复制代码


赶紧先下线了吧。。。


看大家好像没看明白，这是读服务器的文件，接了微信支付接口的，不是微信APP的问题。

gdtv

本帖最后由 gdtv 于 2018-7-3 10:18 编辑

我帮楼主通俗地解释一下吧：
1、受影响的是使用了微信支付的网站，注意是网站，和你手机上的app没关系。
2、微信官方提供的java版本的SDK有漏洞，会被入侵，如果不是用java，或者不是用官方的SDK，就没问题。
3、就算真的使用了有漏洞的SDK，也不要太害怕，因为漏洞是通过notify url入侵的，一般来说没人知道你的notify url。

安之若素

所以这个东西有什么影响。。。

jy02201949

我也跟胖虎大佬同问

40huo

安之若素 发表于 2018-7-3 10:01

所以这个东西有什么影响。。。
想读你什么文件就读什么文件

ADC

为什么这些天老看见“出大事”标题，结果却是一些不怎么重要的事情

安之若素

40huo 发表于 2018-7-3 10:04

想读你什么文件就读什么文件


想要你什么权限你就必须给什么权限，不给不能用。我还在乎这个。

JJ复鸡鸡

我用苹果，电脑也无法读取每个独立app的空间，怕啥？

小号

跟微信有毛关系，反正我又不用它的支付功能。而且这个服务器端过滤了不就没事了么。

40huo

JJ复鸡鸡 发表于 2018-7-3 10:08

我用苹果，电脑也无法读取每个独立app的空间，怕啥？
读服务器的文件大胸弟