收藏
评论

【XXE漏洞修复】Q&A

问:如果XXE漏洞一直不修复,会有什么后果?
答:
1.如果您的支付通知回调存在XXE漏洞,一旦被攻击,贵司的订单状态在用户未支付的情况下被更改为已支付,贵司将出现资金损失。
2.因为存在资金损失的风险,微信支付将暂停贵司出资金功能权限,避免造成您账户上的资金被非法外流。
3.有部分商户还可能暂停交易权限。

问:怎么检测是否还存在漏洞?
答:
1.使用贵司商户号登录商户平台(pay.weixin.qq.com),进入【产品中心】-->【安全医生】,开通后即可进行安全检测。
2.也可以使用https://developers.weixin.qq.com/community/pay/doc/0000aa8fa7ceb0fb1678c3fa05b808说明自行验证。

问:安全医生开通一直报错“域名校验失败”或“文件未正确放置”
答:
1.每次打开验证页面后,请不要关闭页面,放置域名根目录,确认访问正常后点击验证;
2.如果关闭页面重新进入,验证文件需重新放置。

问:为什么做了修复措施,漏洞一直存在?
答:
1.根据指引确认,是否所有回调都进行了修复措施;
2.要在代码中禁用XML实体解析,不能只是将页面报错处理;
3.如果不再使用的支付回调,请将其删除;
4.可以改为主动查单, 将原有支付回调都删除;

问:因XXE被停了交易交易权限/功能权限,需要怎么恢复?
答:
1.必须先修复XXE漏洞;
2.再发邮件到WePayTS@tencent.com,申请恢复权限;

问:没有技术人员,需要怎么修复?
答:
1.更换使用安全的支付系统,比如使用微信买单,其他服务商的系统。

问:支付系统不用了,为什么还提示需要修复?
答:因为回调漏洞一直存在,贵司的系统存在被攻击的风险。需要将有漏洞的链接下线。

问:如果有多个商户号, 需要每个商户号都开通安全医生吗?
答:不需要, 如果您多个商户号是相同的域名,有一个开通扫描即可。相同的回调链接也不需要重复检查。

问:Coldfusion/lucee和node.js有漏洞怎么修复?
答:请更新到代码库的最新版本

问:有其他难题怎么解决
答:请填写问卷,我们将主动联系贵司

最后一次编辑于  04-30  (未经腾讯允许,不得转载)
收藏