18143453325 在线咨询 在线咨询
18143453325 在线咨询
所在位置: 首页 > 营销资讯 > 行业动态 > 十、 微信支付Java SDK XXE漏洞

十、 微信支付Java SDK XXE漏洞

时间:2022-04-26 14:06:02 | 来源:行业动态

时间:2022-04-26 14:06:02 来源:行业动态

2018年6月底,国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。目前,漏洞详细信息以及攻击方式已被公开,该漏洞影响范围巨大,建议用到 JAVA SDK 的商户快速检查并修复。

微信支付SDK JAVA版的 XXE 漏洞,主要存在于商家服务器端的支付结果回调 URL 处。在该处使用 DOM 处理回传的 XML 格式的支付结果通知时,未禁用外部实体、参数实体、内联 DTD 等,从而导致存在 XXE 漏洞。

(注:漏洞顺序按360安全监测与响应中心发布安全预警通告的时间顺序排序。)

关键词:漏洞,支付

74
73
25
news

版权所有© 亿企邦 1997-2022 保留一切法律许可权利。

为了最佳展示效果,本站不支持IE9及以下版本的浏览器,建议您使用谷歌Chrome浏览器。 点击下载Chrome浏览器
关闭