问:如果XXE漏洞一直不修复,会有什么后果?
答:
1.如果您的支付通知回调存在XXE漏洞,一旦被攻击,贵司的订单状态在用户未支付的情况下被更改为已支付,贵司将出现资金损失。
2.因为存在资金损失的风险,微信支付将暂停贵司出资金功能权限,避免造成您账户上的资金被非法外流。
3.有部分商户还可能暂停交易权限。
问:怎么检测是否还存在漏洞?
答:
1.使用贵司商户号登录商户平台(pay.weixin.qq.com),进入【产品中心】-->【安全医生】,开通后即可进行安全检测。
2.也可以使用https://developers.weixin.qq.com/community/pay/doc/0000aa8fa7ceb0fb1678c3fa05b808说明自行验证。
问:安全医生开通一直报错“域名校验失败”或“文件未正确放置”
答:
1.每次打开验证页面后,请不要关闭页面,放置域名根目录,确认访问正常后点击验证;
2.如果关闭页面重新进入,验证文件需重新放置。
问:为什么做了修复措施,漏洞一直存在?
答:
1.根据指引确认,是否所有回调都进行了修复措施;
2.要在代码中禁用XML实体解析,不能只是将页面报错处理;
3.如果不再使用的支付回调,请将其删除;
4.可以改为主动查单, 将原有支付回调都删除;
问:因XXE被停了交易交易权限/功能权限,需要怎么恢复?
答:
1.必须先修复XXE漏洞;
2.进入微信支付在线技术支持页面:(https://support.pay.weixin.qq.com/online-service?from=wechatpay),微信扫码登录后输入“人工”,选择问题分类为“其他问题”-“商户安全”与我们联系并申请恢复权限。
问:没有技术人员,需要怎么修复?
答:
1.更换使用安全的支付系统,比如使用微信买单,其他服务商的系统。
问:支付系统不用了,为什么还提示需要修复?
答:因为回调漏洞一直存在,贵司的系统存在被攻击的风险。需要将有漏洞的链接下线。
问:如果有多个商户号, 需要每个商户号都开通安全医生吗?
答:不需要, 如果您多个商户号是相同的域名,有一个开通扫描即可。相同的回调链接也不需要重复检查。
问:Coldfusion/lucee和node.js有漏洞怎么修复?
答:请更新到代码库的最新版本
问:有其他难题怎么解决
答:请使用线上咨询渠道或社区咨询
175.27.202.51 - - [19/Oct/2021:14:35:21 +0800] "GET /省略....pay HTTP/1.1" 500 6541 "https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5&index=3" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36 TST(Tencent_Security_Team) 72c6"
目前我们服务器收到如上请求,一直在扫我们的支付回调接口,请问是腾讯例行扫描检查吗?
登录游戏要用微信,可是登录不了,你是不是有bug呀