收藏
评论

商户侧XXE漏洞验证说明官方

流程

                           

第一步,向业务服务器的支付回调接口构造一个内容如下的POST请求。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "http://127.0.0.1/test-xxe-vul">
%xxe;
]>
第二步,向业务服务器的支付回调接口发送如上POST请求后, 如果存在XXE漏洞, 业务服务器会向本地地址http://127.0.0.1/test-xxe-vul发送一条http请求,我们可通过检索业务服务器日志来确认是否收到该请求,也可以通过根目录test-xxe-vul文件里面打印日志的方式来判断是否有访问(注意:要去掉手工访问的情况)。

微信支付提醒:请勿向无授权或无合作的第三方发送验证请求。


最后一次编辑于  2019-05-17
收藏

12 个评论

  • 一叶知秋
    一叶知秋
    2019-06-24

    这个技术指引就是一个笑话,修复了好几次还说有漏洞,我现在直接删掉端口,不用支付了,还提示有漏洞,真心无力。连个能直接对接的人工都没有,全是邮件回复,也不说具体,体验感极差。

    2019-06-24
    赞同 4
    回复 1
    • 赵光辉
      赵光辉
      2021-09-11
      logger.warning("A DOCTYPE was passed into the XML document");
      提示没这个方法 怎么弄的呢  log4g??
      2021-09-11
      1
      回复
  • 俞宝山
    俞宝山
    2019-05-17

    我们的被开发人员整成了GET

    2019-05-17
    赞同 2
    回复 1
    • 赵光辉
      赵光辉
      2021-09-11
      logger.warning(&quot;A DOCTYPE was passed into the XML document&quot;);
      提示没这个方法 怎么弄的呢 log4g??
      2021-09-11
      回复
  • 洲,你要吗?你说要,我肯定给你,不可能你说�
    洲,你要吗?你说要,我肯定给你,不可能你说�
    2019-04-25

    按照文档修复了,2个商户成功,2个商户失败,实在没办法。。。


    14180855021485485272

    2019-04-25
    赞同 2
    回复 2
    • 微信支付质量运营助手
      微信支付质量运营助手
      2019-04-29

      请提供修复代码或方法,我们一起看下

      2019-04-29
      1
      回复
    • 赵光辉
      赵光辉
      2021-09-11
      logger.warning(&quot;A DOCTYPE was passed into the XML document&quot;);
      提示没这个方法 怎么弄的呢 log4g??
      2021-09-11
      回复
  • ༺番茄炒蛋༻
    ༺番茄炒蛋༻
    2021-08-29

    .net 的怎么修复啊?有各位大神修复成功的吗?

    2021-08-29
    赞同 1
    回复
  • 宗学付
    宗学付
    发表于移动端
    09-04
    今天要多少千八百一十一.
    09-04
    赞同
    回复
  • 宗学付
    宗学付
    发表于移动端
    09-04
    .“一、
    09-04
    赞同
    回复
  • 宗学付
    宗学付
    发表于移动端
    09-04
    今天要多少!
    09-04
    赞同
    回复
  • 锅盖头爱豚
    锅盖头爱豚
    2021-09-27

    别逗了,不好用

    2021-09-27
    赞同
    回复
  • 赵光辉
    赵光辉
    2021-09-11

    logger.warning 一直报错怎么弄呢


    2021-09-11
    赞同
    回复
  • caijianfang
    caijianfang
    2021-08-26

    按文档修复了,帮忙复核下。

    商户号:1358243702

    2021-08-26
    赞同
    回复

正在加载...

登录 后发表内容