收藏
评论

【XXE漏洞修复】Q&A官方

问:如果XXE漏洞一直不修复,会有什么后果?

答:

1.如果您的支付通知回调存在XXE漏洞,一旦被攻击,贵司的订单状态在用户未支付的情况下被更改为已支付,贵司将出现资金损失。

2.因为存在资金损失的风险,微信支付将暂停贵司出资金功能权限,避免造成您账户上的资金被非法外流。

3.有部分商户还可能暂停交易权限。


问:怎么检测是否还存在漏洞?

答:

1.使用贵司商户号登录商户平台(pay.weixin.qq.com),进入【产品中心】-->【安全医生】,开通后即可进行安全检测。

2.也可以使用https://developers.weixin.qq.com/community/pay/doc/0000aa8fa7ceb0fb1678c3fa05b808说明自行验证。


问:安全医生开通一直报错“域名校验失败”或“文件未正确放置”

答:

1.每次打开验证页面后,请不要关闭页面,放置域名根目录,确认访问正常后点击验证;

2.如果关闭页面重新进入,验证文件需重新放置。


问:为什么做了修复措施,漏洞一直存在?

答:

1.根据指引确认,是否所有回调都进行了修复措施;

2.要在代码中禁用XML实体解析,不能只是将页面报错处理;

3.如果不再使用的支付回调,请将其删除;

4.可以改为主动查单, 将原有支付回调都删除;


问:因XXE被停了交易交易权限/功能权限,需要怎么恢复?

答:

1.必须先修复XXE漏洞;

2.进入微信支付在线技术支持页面:(https://support.pay.weixin.qq.com/online-service?from=wechatpay),微信扫码登录后输入“人工”,选择问题分类为“其他问题”-“商户安全”与我们联系并申请恢复权限。


问:没有技术人员,需要怎么修复?

答:

1.更换使用安全的支付系统,比如使用微信买单,其他服务商的系统。


问:支付系统不用了,为什么还提示需要修复?

答:因为回调漏洞一直存在,贵司的系统存在被攻击的风险。需要将有漏洞的链接下线。


问:如果有多个商户号, 需要每个商户号都开通安全医生吗?

答:不需要, 如果您多个商户号是相同的域名,有一个开通扫描即可。相同的回调链接也不需要重复检查。


问:Coldfusion/lucee和node.js有漏洞怎么修复?

答:请更新到代码库的最新版本


问:有其他难题怎么解决

答:请使用线上咨询渠道或社区咨询

最后一次编辑于  2022-02-10
收藏

2 个评论

  • 一棵树
    一棵树
    2021-10-19

    175.27.202.51 - - [19/Oct/2021:14:35:21 +0800] "GET /省略....pay HTTP/1.1" 500 6541 "https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5&index=3" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36 TST(Tencent_Security_Team) 72c6"


    目前我们服务器收到如上请求,一直在扫我们的支付回调接口,请问是腾讯例行扫描检查吗?


    2021-10-19
    赞同 2
    回复 1
    • @
      @
      2021-12-27
      同问
      2021-12-27
      1
      回复
  • 皓天
    皓天
    发表于小程序端
    2022-02-10

    登录游戏要用微信,可是登录不了,你是不是有bug呀

    2022-02-10
    赞同
    回复
登录 后发表内容