置顶商户侧XXE漏洞验证说明官方精选热门

微信团队2019-04-226347浏览

流程：

第一步，向业务服务器的支付回调接口构造一个内容如下的POST请求。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "http://127.0.0.1/test-xxe-vul">
%xxe;
]>
第二步，向业务服务器的支付回调接口发送如上POST请求后，如果存在XXE漏洞，业务服务器会向本地地址http://127.0.0.1/test-xxe-vul发送一条http请求，我们可通过检索业务服务器日志来确认是否收到该请求，也可以通过根目录test-xxe-vul文件里面打印日志的方式来判断是否有访问（注意：要去掉手工访问的情况）。

微信支付提醒：请勿向无授权或无合作的第三方发送验证请求。

最后一次编辑于 2019-05-17

9 个评论

一叶知秋
2019-06-24
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
这个技术指引就是一个笑话，修复了好几次还说有漏洞，我现在直接删掉端口，不用支付了，还提示有漏洞，真心无力。连个能直接对接的人工都没有，全是邮件回复，也不说具体，体验感极差。
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2019-06-24
赞同 4
回复 1
- 赵光辉
  2021-09-11
  加粗
  标红
  插入代码
  插入链接
  插入图片
  上传视频
  请登录后发表内容
  关闭
  新增或编辑超链接
  链接地址
  确认取消
  关闭
  插入视频
  视频链接
  确认取消
  发表
  logger.warning("A DOCTYPE was passed into the XML document");
  提示没这个方法怎么弄的呢 log4g？？
  你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
  待楼主反馈
  2021-09-11
  赞 1
  回复
  关闭
  请选择投诉理由
  广告内容
  违法违规
  恶意灌水内容
  其他
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
俞宝山
2019-05-17
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
我们的被开发人员整成了GET
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2019-05-17
赞同 2
回复 1
- 赵光辉
  2021-09-11
  加粗
  标红
  插入代码
  插入链接
  插入图片
  上传视频
  请登录后发表内容
  关闭
  新增或编辑超链接
  链接地址
  确认取消
  关闭
  插入视频
  视频链接
  确认取消
  发表
  logger.warning("A DOCTYPE was passed into the XML document");
  提示没这个方法怎么弄的呢 log4g？？
  你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
  待楼主反馈
  2021-09-11
  赞
  回复
  关闭
  请选择投诉理由
  广告内容
  违法违规
  恶意灌水内容
  其他
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
༺番茄炒蛋༻
2021-08-29
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
.net 的怎么修复啊？有各位大神修复成功的吗？
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2021-08-29
赞同 1
回复
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
洲，你要吗？你说要，我肯定给你，不可能你说�
2019-04-25
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
按照文档修复了，2个商户成功，2个商户失败，实在没办法。。。

1418085502，1485485272
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2019-04-25
赞同 1
回复 2
- 微信支付质量运营助手
  2019-04-29
  加粗
  标红
  插入代码
  插入链接
  插入图片
  上传视频
  请登录后发表内容
  关闭
  新增或编辑超链接
  链接地址
  确认取消
  关闭
  插入视频
  视频链接
  确认取消
  发表
  请提供修复代码或方法，我们一起看下
  你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
  待楼主反馈
  2019-04-29
  赞
  回复
  关闭
  请选择投诉理由
  广告内容
  违法违规
  恶意灌水内容
  其他
- 赵光辉
  2021-09-11
  加粗
  标红
  插入代码
  插入链接
  插入图片
  上传视频
  请登录后发表内容
  关闭
  新增或编辑超链接
  链接地址
  确认取消
  关闭
  插入视频
  视频链接
  确认取消
  发表
  logger.warning("A DOCTYPE was passed into the XML document");
  提示没这个方法怎么弄的呢 log4g？？
  你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
  待楼主反馈
  2021-09-11
  赞
  回复
  关闭
  请选择投诉理由
  广告内容
  违法违规
  恶意灌水内容
  其他
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
锅盖头爱豚
2021-09-27
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
别逗了，不好用
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2021-09-27
赞同
回复
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
赵光辉
2021-09-11
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
logger.warning 一直报错怎么弄呢

你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2021-09-11
赞同
回复
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
caijianfang
2021-08-26
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
按文档修复了，帮忙复核下。
商户号：1358243702
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2021-08-26
赞同
回复
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
2019-05-23
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
已按要求进行修复，且使用上述方法验证，确实有性，但支付功能仍未开通，请官方协助处理。
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2019-05-23
赞同
回复
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
A、阳光下的向日葵🌷
2019-04-25
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
修复失败，就指教：qq812406218
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2019-04-25
赞同
回复
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他