小程序
小游戏
企业微信
微信支付
扫描小程序码分享
java后台接收到微信的回调,解析XML时已禁止实体注入。
但还是提示有XXE漏洞。
回调接口“应答给微信的XML”是否也要禁止实体注入才行
1 个回答
加粗
标红
插入代码
插入链接
插入图片
上传视频
你好,
请按照以下几点内容再仔细检查。
1、你更新的只是sdk的部分代码,没有完全更新,或者在SDK外还使用了XML的解析没有防XXE
2、你可能有多个回调地址,而你只修复了其中一个
3、你可能有多个服务器,你只发布了其中一台或者修改了没有正式发布
4、实际做xml解析的不是修改的地方
5、xml解析器和httpclient存在多个版本,有冲突,pom.xml可以查看jar版本号
返回给微信的XML数据也是要防XXE吗
你好,
请按照以下几点内容再仔细检查。
1、你更新的只是sdk的部分代码,没有完全更新,或者在SDK外还使用了XML的解析没有防XXE
2、你可能有多个回调地址,而你只修复了其中一个
3、你可能有多个服务器,你只发布了其中一台或者修改了没有正式发布
4、实际做xml解析的不是修改的地方
5、xml解析器和httpclient存在多个版本,有冲突,pom.xml可以查看jar版本号
返回给微信的XML数据也是要防XXE吗