流程：

第一步，向业务服务器的支付回调接口构造一个内容如下的POST请求。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "http://127.0.0.1/test-xxe-vul">
%xxe;
]>
第二步，向业务服务器的支付回调接口发送如上POST请求后， 如果存在XXE漏洞， 业务服务器会向本地地址http://127.0.0.1/test-xxe-vul发送一条http请求，我们可通过检索业务服务器日志来确认是否收到该请求，也可以通过根目录test-xxe-vul文件里面打印日志的方式来判断是否有访问（注意：要去掉手工访问的情况）。

微信支付提醒：请勿向无授权或无合作的第三方发送验证请求。