收藏
回答

XXE漏洞

java后台接收到微信的回调,解析XML时已禁止实体注入。

但还是提示有XXE漏洞。

回调接口“应答给微信的XML”是否也要禁止实体注入才行

最后一次编辑于  2019-06-11
回答关注问题邀请回答
收藏

1 个回答

  • 微信支付技术助手4
    微信支付技术助手4
    2019-06-11

    你好,

    请按照以下几点内容再仔细检查。

    1、你更新的只是sdk的部分代码,没有完全更新,或者在SDK外还使用了XML的解析没有防XXE

    2、你可能有多个回调地址,而你只修复了其中一个

    3、你可能有多个服务器,你只发布了其中一台或者修改了没有正式发布

    4、实际做xml解析的不是修改的地方

    5、xml解析器和httpclient存在多个版本,有冲突,pom.xml可以查看jar版本号


    2019-06-11
    有用
    回复 1
    • Yellow豆
      Yellow豆
      2019-06-11

      返回给微信的XML数据也是要防XXE吗

      2019-06-11
      回复
登录 后发表内容