收藏
评论

商户侧XXE漏洞验证说明官方

流程

                           

第一步,向业务服务器的支付回调接口构造一个内容如下的POST请求。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "http://127.0.0.1/test-xxe-vul">
%xxe;
]>
第二步,向业务服务器的支付回调接口发送如上POST请求后, 如果存在XXE漏洞, 业务服务器会向本地地址http://127.0.0.1/test-xxe-vul发送一条http请求,我们可通过检索业务服务器日志来确认是否收到该请求,也可以通过根目录test-xxe-vul文件里面打印日志的方式来判断是否有访问(注意:要去掉手工访问的情况)。

微信支付提醒:请勿向无授权或无合作的第三方发送验证请求。


最后一次编辑于  2019-05-17
收藏

12 个评论

  • 2019-05-23

    已按要求进行修复,且使用上述方法验证,确实有性,但支付功能仍未开通,请官方协助处理。

    2019-05-23
    赞同
    回复
  • A、阳光下的向日葵🌷
    A、阳光下的向日葵🌷
    2019-04-25

    修复失败,就指教:qq812406218

    2019-04-25
    赞同
    回复

正在加载...

登录 后发表内容