置顶商户侧XXE漏洞验证说明官方精选热门

微信团队2019-04-227889浏览

流程：

第一步，向业务服务器的支付回调接口构造一个内容如下的POST请求。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "http://127.0.0.1/test-xxe-vul">
%xxe;
]>
第二步，向业务服务器的支付回调接口发送如上POST请求后，如果存在XXE漏洞，业务服务器会向本地地址http://127.0.0.1/test-xxe-vul发送一条http请求，我们可通过检索业务服务器日志来确认是否收到该请求，也可以通过根目录test-xxe-vul文件里面打印日志的方式来判断是否有访问（注意：要去掉手工访问的情况）。

微信支付提醒：请勿向无授权或无合作的第三方发送验证请求。

最后一次编辑于 2019-05-17

3 个评论

宗学付
发表于移动端
2024-09-04
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
今天要多少千八百一十一.
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2024-09-04
赞同
回复
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
宗学付
发表于移动端
2024-09-04
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
.“一、
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2024-09-04
赞同
回复
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
宗学付
发表于移动端
2024-09-04
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
今天要多少！
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2024-09-04
赞同
回复
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他

请登录后发表内容

置顶商户侧XXE漏洞验证说明官方精选热门

请选择投诉理由

删除当前帖子

删除后帖子内容及评论将一并被删除，且不可恢复。

关注“微信开放社区”公众号

反馈

新增或编辑超链接

插入视频

请选择投诉理由

新增或编辑超链接

插入视频

请选择投诉理由

新增或编辑超链接

插入视频

请选择投诉理由

新增或编辑超链接

插入视频

关注“微信开放社区”公众号