JFinal

登录 注册

关于微信支付漏洞的问题如何修复,官方给出的解决方案完全看不懂,太他妈的长了。

2018年7月4日,微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。7月5日微信支付官方发布声明,称该安全问题是XML组件默认没有禁用外部实体引用导致。

以下为公告原文:

尊敬的微信支付商户:

温馨提示,请贵公司研发团队关注XML外部实体注入漏洞(XXE)的相关信息:

1、XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是XML组件默认没有禁用外部实体引用导致。

2、请安排贵公司技术人员排查确认其系统中接收微信支付回调通知部分的逻辑是否存在XXE漏洞,同时也请排查其他相关系统是否存在该漏洞,该漏洞极易因研发人员编码遗漏引入且危害很大,具体的检查和修复方案已经在微信支付商户平台内发布公告,请尽快让技术人员进行查看和处理。

3、微信支付安全实践指引:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5


评论

  • 09-14 09:52
    不用看懂,升级到 jfinal weixin 2.1 即可,这个版本已经帮你解决好了,这类问题没必要浪费时间去研究
  • 09-14 14:27
    波总威武!
  • 10-13 09:36
    @JFinal 只需要换一下jar包就行了吗?微信支付的代码是以前的demo中的代码,不需要改动代码吗?
  • 发送