全球主机交流论坛

标题: 出大事了老铁们,微信SDK爆出XXE任意文件读漏洞 [打印本页]
作者: 40huo    时间: 2018-7-3 09:59
标题: 出大事了老铁们,微信SDK爆出XXE任意文件读漏洞
本帖最后由 40huo 于 2018-7-3 10:11 编辑

老外的链接
http://seclists.org/fulldisclosure/2018/Jul/3

国外哥们测试了vivo和momo

In order to prove this, I got 2 chinese famous company:

   a、momo: Well-known chat tools like WeChat

   b、vivo :China's famous mobile phone,that also famous in my country

  1. Example  momo :

  3.   attack:

  5.      notify url:    https://pay.immomo.com/weixin/notify

  7.               cmd:  /home/



  11.       result:



  15.       ***

  17.       logs

  19.       zhang.jiax**

  21.       zhang.shaol**

  23.       zhang.xia**

  25.       ****


  28.     attack:

  30.      notify url:    https://pay.immomo.com/weixin/notify

  32.               cmd:  /home/logs



  36.       result:

  38.       ***

  40.        moa-service

  42.        momotrace

  44.       ****


  47. Example  vivo :

  49.   attack:

  51.      notify url:   https://pay.vivo.com.cn/webpay/wechat/callback.oo

  53.               cmd: /home/



  57.       result:

  59.          tomcat


  62.   attack:

  64.      notify url:   https://pay.vivo.com.cn/webpay/wechat/callback.oo

  66.               cmd: /home/tomcat

  68.      result:

  70.         .bash_logout

  72. .bash_profile

  74. .bashrc

  76. logs


  79. attack:

  81.      notify url:   https://pay.vivo.com.cn/webpay/wechat/callback.oo

  83.               cmd: /home/tomcat/logs

  85.      result:

  87.            ****

  89.            tomcat-2018-06-28.log

  91.   tomcat-2018-06-29.log

  93.   tomcat-2018-06-30.log

  95.            *****
复制代码



赶紧先下线了吧。。。


看大家好像没看明白,这是读服务器的文件,接了微信支付接口的,不是微信APP的问题。
作者: 安之若素    时间: 2018-7-3 10:01
所以这个东西有什么影响。。。
作者: jy02201949    时间: 2018-7-3 10:04
我也跟胖虎大佬同问
作者: 40huo    时间: 2018-7-3 10:04
安之若素 发表于 2018-7-3 10:01
所以这个东西有什么影响。。。

想读你什么文件就读什么文件
作者: ADC    时间: 2018-7-3 10:05
为什么这些天老看见“出大事”标题,结果却是一些不怎么重要的事情
作者: 安之若素    时间: 2018-7-3 10:06
40huo 发表于 2018-7-3 10:04
想读你什么文件就读什么文件

想要你什么权限你就必须给什么权限,不给不能用。我还在乎这个。

作者: JJ复鸡鸡    时间: 2018-7-3 10:08
提示: 作者被禁止或删除 内容自动屏蔽
作者: 小号    时间: 2018-7-3 10:09
跟微信有毛关系,反正我又不用它的支付功能。而且这个服务器端过滤了不就没事了么。
作者: 40huo    时间: 2018-7-3 10:09
JJ复鸡鸡 发表于 2018-7-3 10:08
我用苹果,电脑也无法读取每个独立app的空间,怕啥?

读服务器的文件大胸弟
作者: gdtv    时间: 2018-7-3 10:16
本帖最后由 gdtv 于 2018-7-3 10:18 编辑

我帮楼主通俗地解释一下吧:
1、受影响的是使用了微信支付的网站,注意是网站,和你手机上的app没关系。
2、微信官方提供的java版本的SDK有漏洞,会被入侵,如果不是用java,或者不是用官方的SDK,就没问题。
3、就算真的使用了有漏洞的SDK,也不要太害怕,因为漏洞是通过notify url入侵的,一般来说没人知道你的notify url。
作者: 兰陵笑笑生    时间: 2018-7-3 10:20
我微信聊骚记录不会被读走吧
作者: 40huo    时间: 2018-7-3 10:27
gdtv 发表于 2018-7-3 10:16
我帮楼主通俗地解释一下吧:
1、受影响的是使用了微信支付的网站,注意是网站,和你手机上的app没关系。
2 ...

通俗易懂,非常稳
作者: 左手写爱    时间: 2018-7-3 10:54
看来开通网银的银行卡不能跟工资卡之类的关联太正确了



欢迎光临 全球主机交流论坛 (https://91ai.net/) Powered by Discuz! X3.4