微信支付:请关注安全风险并自查保障系统安全

微信支付:请关注安全风险并自查保障系统安全

前不久,有网友在国外的安全社区声称发现微信支付官方java版本服务器SDK(软件工具开发包)存在漏洞。

对此,微信支付技术安全团队第一时间关注并进行排查。官方的部分服务器SDK在处理回调请求解析XML报文时存在XML外部实体注入风险,已于7月3号发布新版本SDK修复该问题

经过调查发现,即使不使用官方SDK,商户自身的信息系统也可能因为不安全的编码而受到该漏洞影响。

针对这个问题,微信支付团队在商户平台及服务商平台发出公告提醒大家进行主动排查

 

做“体检”,保障“店”
的安全
 
看到公告,请自查

商户如果在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,可按照指引进一步检查是否已做好防范。另外,APP支付的客户端SDK不受此次风险影响,无需担心。

场景1:支付成功通知;
场景2:退款成功通知;
场景3:委托代扣签约、解约、扣款通知;
场景4:车主解约通知;
场景5:扫码支付模式一回调;

同时,微信支付团队可能会对部分商户通过如下电话号码联系可以进行安全自查提醒,指引并帮助商户对自身系统进行自查,以及询问商户是否授权平台给微信支付团队进行安全扫描,以便更好的协助商户提升自身信息系统的安全性

(0755)36560292
(0755)61954612
(0755)61954613
(0755)61954614
(0755)61954615
(0755)6195461695017

注意:授权检测支付系统操作,不会影响商户系统安全。

修复系统,可以这样做

商户可根据自身情况,通过以下修复指引进行调整:

  • 如果你的后台系统使用了旧的微信支付官方的JAVA和NET版本服务器SDK,请点击微信支付官方的下载链接,SDK更新到最新版本,其他开源网站的SDK无法确认安全性,一定要谨慎下载。
  • 如果你有系统提供商,请联系提供商进行核查和升级修复
  • 如果你是自研系统,请联系技术部门核查和修复,还可点击具体修复流程,将它转发给技术部门,并根据这份指引快速开始自查。

商户需按照官方公告中的指引排查自建系统是否存在漏洞,若存在漏洞则根据官方指引去修复即可保障安全,或授权平台给微信官方,由微信官方进行扫描排查。

为了长期保障商户系统的安全,微信支付团队现在还推出更自助快捷的安全方案——安全医生,它能检查商户系统、提出修复意见,协助商户发现和排除自己实现的系统中同样的安全问题,担心的商户可以根据以下指引签署使用,快速便捷地保障系统长期安全:

接下来,微信支付团队将持续排查,加强各个服务接口监察的同时,也将全力协助商户发现和排除系统中同样的安全问题,共同提升移动支付整体安全性。