流程:
第一步,向业务服务器的支付回调接口构造一个内容如下的POST请求。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "http://127.0.0.1/test-xxe-vul">
%xxe;
]>
第二步,向业务服务器的支付回调接口发送如上POST请求后, 如果存在XXE漏洞, 业务服务器会向本地地址http://127.0.0.1/test-xxe-vul发送一条http请求,我们可通过检索业务服务器日志来确认是否收到该请求,也可以通过根目录test-xxe-vul文件里面打印日志的方式来判断是否有访问(注意:要去掉手工访问的情况)。
微信支付提醒:请勿向无授权或无合作的第三方发送验证请求。
已按要求进行修复,且使用上述方法验证,确实有性,但支付功能仍未开通,请官方协助处理。
修复失败,就指教:qq812406218