微信支付商戶:請關注安全風險并自查,保障系統安全

發布時間:2018-07-27 14:42:16 來源:辰星網絡 編輯:rstar 閱讀()

 前不久,有網友在國外的安全社區聲稱發現微信支付官方java版本服務器SDK(軟件工具開發包)存在漏洞。

對此,微信支付技術安全團隊第一時間關注并進行排查。官方的 部分服務器SDK在處理回調請求解析XML報文時存在XML外部實體注入風險,已于7月3號發布新版本SDK修復該問題 。

經過調查發現, 即使不使用官方SDK,商戶自身的信息系統也可能因為不安全的編碼而受到該漏洞影響。

針對這個問題,微信支付團隊在商戶平臺及服務商平臺 發出公告提醒大家進行主動排查 。

做“體檢”,保障“  ” 的安全

看到公告,請自查

商戶如果在使用支付業務回調通知中,存在以下場景有使用XML解析的情況,可按照指引進一步檢查是否已做好防范。另外,APP支付的客戶端SDK不受此次風險影響,無需擔心。

場景1:支付成功通知;

場景2:退款成功通知;

場景3:委托代扣簽約、解約、扣款通知;

場景4:車主解約通知;

場景5:掃碼支付模式一回調;

同時,微信支付團隊可能會對部分商戶 通過如下電話號碼聯系可以進行安全自查提醒, 指引并 幫助商戶對自身系統進行自查 ,以及詢問商戶是否授權平臺給微信支付團隊進行安全掃描,以便更好的協助商戶提升自身信息系統的安全性 

(0755)36560292 (0755)61954612 (0755)61954613 (0755)61954614 (0755)61954615 (0755)61954616
95017

注意:授權檢測支付系統操作,不會影響商戶系統安全。

修復系統,可以這樣做

商戶可根據自身情況,通過以下修復指引進行調整:

  • 如果你的后臺系統使用了舊的微信支付官方的JAVA和NET版本服務器SDK,請點擊微信支付官方的下載鏈接,  SDK更新到最新版本, 其他開源網站的SDK無法確認安全性,一定要謹慎下載。

  • 如果你有系統提供商,請 聯系提供商進行核查和升級修復 ;

  • 如果你是自研系統,請 聯系技術部門核查和修復, 還可點擊具體修復流程,將它轉發給技術部門,并根據這份指引快速開始自查。

商戶需按照官方公告中的指引 排查自建系統是否存在漏洞,若存在漏洞則根據官方指引去修復即可保障安全 ,或授權平臺給微信官方,由微信官方進行掃描排查。

為了長期保障商戶系統的安全,微信支付團隊現在還推出更自助快捷的安全方案—— 安全醫生 ,它能 檢查商戶系統、提出修復意見 ,協助商戶 發現和排除自己實現的系統中同樣的安全問題, 擔心的商戶可以根據以下指引簽署使用,快速便捷地保障系統長期安全:

接下來,微信支付團隊將持續排查, 加強各個服務接口監察 的同時,也將 全力協助商戶發現和排除系統中同樣的安全問題 ,共同提升移動支付整體安全性。

聲明:本文來自微信支付商戶通,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在于傳遞更多信息。如需轉載,請聯系原作者獲取授權。

下一篇:返回列表
點擊立刻咨詢
欧洲mg电子游艺现金网
二人麻将规则及玩法 大地网投注册 pk10软件代理 时时彩历史记录查询 内蒙古时时精准预测 旧版彩计划app 365什么叫双式投注 北京pk10赛车稳赚技巧 快乐时时官网下载 500彩票计划助手下载 幸运pk10快艇在线直播 时时彩四星直选万能号 欢乐斗地主二人版pk版 重庆时时彩大小技巧 足球即时比 彩杏注册 二人麻将规则及玩法 大地网投注册 pk10软件代理 时时彩历史记录查询 内蒙古时时精准预测 旧版彩计划app 365什么叫双式投注 北京pk10赛车稳赚技巧 快乐时时官网下载 500彩票计划助手下载 幸运pk10快艇在线直播 时时彩四星直选万能号 欢乐斗地主二人版pk版 重庆时时彩大小技巧 足球即时比 彩杏注册