微信支付商户:请关注安全风险并自查,保障系统安全

发布时间:2018-07-27 14:42:16 来源:辰星网络 编辑:rstar 阅读()

 前不久,有网友在国外的安全社区声称发现微信支付官方java版本服务器SDK(软件工具开发包)存在漏洞。

对此,微信支付技术安全团队第一时间关注并进行排查。官方的 部分服务器SDK在处理回调请求解析XML报文时存在XML外部实体注入风险,已于7月3号发布新版本SDK修复该问题 。

经过调查发现, 即使不使用官方SDK,商户自身的信息系统也可能因为不安全的编码而受到该漏洞影响。

针对这个问题,微信支付团队在商户平台及服务商平台 发出公告提醒大家进行主动排查 。

做“体检”,保障“  ” 的安全

看到公告,请自查

商户如果在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,可按照指引进一步检查是否已做好防范。另外,APP支付的客户端SDK不受此次风险影响,无需担心。

场景1:支付成功通知;

场景2:退款成功通知;

场景3:委托代扣签约、解约、扣款通知;

场景4:车主解约通知;

场景5:扫码支付模式一回调;

同时,微信支付团队可能会对部分商户 通过如下电话号码联系可以进行安全自查提醒, 指引并 帮助商户对自身系统进行自查 ,以及询问商户是否授权平台给微信支付团队进行安全扫描,以便更好的协助商户提升自身信息系统的安全性 

(0755)36560292 (0755)61954612 (0755)61954613 (0755)61954614 (0755)61954615 (0755)61954616
95017

注意:授权检测支付系统操作,不会影响商户系统安全。

修复系统,可以这样做

商户可根据自身情况,通过以下修复指引进行调整:

  • 如果你的后台系统使用了旧的微信支付官方的JAVA和NET版本服务器SDK,请点击微信支付官方的下载链接,  SDK更新到最新版本, 其他开源网站的SDK无法确认安全性,一定要谨慎下载。

  • 如果你有系统提供商,请 联系提供商进行核查和升级修复 ;

  • 如果你是自研系统,请 联系技术部门核查和修复, 还可点击具体修复流程,将它转发给技术部门,并根据这份指引快速开始自查。

商户需按照官方公告中的指引 排查自建系统是否存在漏洞,若存在漏洞则根据官方指引去修复即可保障安全 ,或授权平台给微信官方,由微信官方进行扫描排查。

为了长期保障商户系统的安全,微信支付团队现在还推出更自助快捷的安全方案—— 安全医生 ,它能 检查商户系统、提出修复意见 ,协助商户 发现和排除自己实现的系统中同样的安全问题, 担心的商户可以根据以下指引签署使用,快速便捷地保障系统长期安全:

接下来,微信支付团队将持续排查, 加强各个服务接口监察 的同时,也将 全力协助商户发现和排除系统中同样的安全问题 ,共同提升移动支付整体安全性。

声明:本文来自微信支付商户通,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。

下一篇:返回列表
点击立刻咨询