java解决微信支付出现的XML (XXE)安全问题

最新推荐文章于 2023-01-06 15:13:22 发布
最新推荐文章于 2023-01-06 15:13:22 发布
阅读量3.9k 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EverBodyFuckingJump/article/details/80933043
版权

今天大佬丢给一个关于微信支付的问题,微信推出一条信息


关于XML解析的问题 官方SDK给出(主要是这个来阻止)

对于没有做过微信的我来讲,看到微信代码是一脸懵逼的。经过一番琢磨最终将其解决微信团队,仔细观看微信推送出来的一条消息可以看到解决步骤在此:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 链接中 点进去


会看到APP SDK不受影响,所以APP端的支付就可以排除掉了,然而刷卡支付、公众号支付、扫码支付 就避免不了

往下看 有PHP JAVA .NET PYTHON ... 一系列的操作。



我们不需要管它那么多

得看出来 JAVA  做了一步操作 就是给 文档构建了一个仓库二仓库中又放了一个空间存放set进去的值,大概的优化也知道了一点点吧。



将其解压出。


很明显可以看到不同出,将WXpayXmlUtil加入到你开发工具包中找到


一顿操作猛如虎之后就OK了。


EverBodyFuckingJump
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
联通支付java面试_Java微信支付【面试+工作】
weixin_42683392的博客
02-13 932
原标题:Java微信支付【面试+工作】Java微信支付【面试+工作】微信支付文档上有刷卡支付,扫码支付,公众号支付,APP支付等各种支付手段。本次就微信内打开的网页支付为例子,用java进行实现一下。微信内网页支付可以将其归属为公众号支付。一、设置支付目录打开微信商户平台,设置路径:商户平台-->产品中心-->开发配置,如图7.7所示。公众号支付在请求支付的时候会校验请求来源是否有在商...
java微信支付v3_微信支付java版V3验证数据合法性(Deom)
weixin_39841640的博客
02-16 282
1.1 解析微信回调数据InputStream inStream = request.getInputStream();ByteArrayOutputStream outSteam = new ByteArrayOutputStream();byte[] buffer = new byte[1024];int len = 0;while ((len = inStream.read(buffer))...
微信支付开发,基于SpringBoot+Vue架构的Java在线支付项目
码农研究僧的博客
12-16 7330
目录前言1. 支付安全1.1 对称加密和非对称加密1.2 身份认证1.3 摘要算法1.4 数字签名和数字证书2. 项目初期2.1 构建测试2.2 引入Swagger2.3 引入lombok3. 数据库3.1 实体类3.2 映射类3.3 service类3.4 配置类3.5 业务逻辑4. 前端界面4.1 vue5. 主要功能 前言 本项目主要通过以下链接进行学习 【尚硅谷】微信支付开发,基于SpringBoot+Vue架构的Java在线支付视频教程 这篇文章结合了自已的思考以及笔记 该项目主要是基于 后端技术
java支付结算安全验证码的实现
03-12
使用kaptcha实现java自动生成验证码
解决使用微信的安全问题
soEase
10-14 494
经常看到有司机在行驶过程中看微信,甚至回微信,这是非常危险的。 如果将看微信变成自动读微信,自动播放微信语音,甚至还能实现语音回复,将极大的解决这种安全问题。 方法:通过微信网页协议登陆,加上在线TTS语音。 硬件:Pi+ReSpeaker 2-Mics Pi HAT 软件:https://github.com/soease/wx4go 其它:ReSpeaker板上有按钮,点击实现录音发...
微信支付Java代码及需注意的问题
qq_40940940的博客
12-30 301
微信支付Java代码及需注意的问题 最重要的是多看微信JSAPI的开发文档,一定要多看几遍再进行编码工作。 统一下单需注意的问题: 标价金额单位为分,且类型为整型 终端ip可固定写127.0.0.1 通知地址为自己写的支付成功回调接口,且外网可访问的 订单号必须在统一商户下是唯一的 WXPay默认为256加密,所以使用WXPayUtil.generateSignature()方法时需要注意也要为256加密 两次加密的方式必须相同 Java代码 将调用统一下单接口及拉起支付所需要的数据封装成一个工具类,使
二、支付安全(证书秘钥签名)
M_Love_U的博客
05-31 997
目录二、支付安全(证书/秘钥/签名)1、信息安全的基础 - 机密性2、对称加密和非对称加密3、身份认证4、摘要算法(Digest Algorithm)5、数字签名6、数字证书7、微信APIv3证书8、API密钥和APIv3密钥9、其余思考补充点算法题:神秘代码其他说明写在后面 二、支付安全(证书/秘钥/签名) 1、信息安全的基础 - 机密性 明文: 加密前的消息叫“明文”(plain text) 密文: 加密后的文本叫“密文”(cipher text) 密钥: 只有掌握特殊“钥匙”的人,才能对加密的文本进行
JAVA XML 解析
05-14
处理XML时,必须注意安全问题,如XXEXML External Entity)和XSS(Cross-site scripting)。Java提供了`org.xml.sax.ext.EntityResolver2`和`com.sun.org.apache.xerces.internal.impl.dv.util.Base64`等类来限制...
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。
信息安全_xxe注入应用与拓展.pptx
08-14
XXE注入详解】 XXE,全称为XML External Entity ...总的来说,XXE注入是一个严重的安全问题,涉及Web服务、框架、文件解析等多个领域。开发者应当了解其原理,采取有效措施预防此类攻击,以保护系统的安全
微信开发java封装好的代码(密文解析,xml转化,验证,获取返回消息
09-09
AccessTokenUtil,专门用于获取Accesstoken JacksonUtils,把解析好的XML文件转化为HashMap MessageUtil,获得要回复的消息,解析密文xml和明文消息 RequestToSendUtil 传人请求地址,请求方法,请求参数(或null),可以发送http请求或https请求 SignUtil微信验证工具 CoreServlet具体的调用方法 CoreService.java具体的调用方法
微信公众号支付签名生成工具类和xml转换工具类和双向验证请求工具类
10-10
微信公众号支付签名生成工具类和xml和map转换工具类和双向验证请求工具类
WEB安全XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
SCAN_XXE:利用XML XXE漏洞
05-07
XML External Entity(XXEXML外部实体)漏洞是一种常见的安全问题,主要出现在处理XML输入的Web应用程序中。这种漏洞允许攻击者通过恶意构造的XML文档,来读取服务器的内部文件、执行系统命令或者进行DoS(拒绝...
java 安全 支付_微信支付Java SDK XXE漏洞实战浅析
weixin_31068491的博客
02-16 676
微信支付SDK JAVA版今天曝出了XXE漏洞,主要原因是在使用DOM处理回传的XML格式的支付结果通知时,未禁用外部实体、参数实体、内联DTD等,导致存在XXE漏洞。0x01 原理分析作者原文分析提到在看微信支付JAVA SDK的说明文档时,发现了结果通知代码示例:import com.github.wxpay.sdk.WXPay;import com.github.wxpay.sdk.WXPa...
微信支付接口的安全校验
仅做个人笔记
12-28 1032
请求参数里的随机字符串参数 微信支付API接口协议中包含字段nonce_str,主要保证签名不可预测。因为:如果【我的请求算出来的签名】和【别人的请求算出来的签名】是一样的,则我就可以知道别人的参数和我的一样。 请求参数里的其他参数 ...
微信支付安全漏洞
CSDN新星计划JAVA赛道TOP5、CSDN内容合伙人、JAVA领域优质创作者、资深JAVA开发深耕JAVA领域。
07-04 1107
7月1日,在老牌漏洞披露平台Full Disclosure出现了一封写给微信支付的公开信。发件人是Rose Jackcode,信的标题是《微信支付官方SDK的XXE安全漏洞(微信支付在商户页面遗留了一个后门)》。发表在漏洞披露平台Full Disclosure上的公开信 发件人Rose Jackcode在信中称,他在微信支付官方SDK(软件工具开发包)发现了一个安全漏洞,此漏洞可导致商家服务器被入...
微信支付二维码native原生支付开发模式一
weixin_30649859的博客
06-29 609
开发前,商户必须在公众平台后台设置支付回调URL。URL实现的功能:接收用户扫码后微信支付系统回调的productid和openid;URL设置详见回调地址设置。 1.业务流程时序图 图6.8:原生支付接口模式一时序图 业务流程说明: 1)商户后台系统根据微信支付规定格式生成二维码(规则见下文第2节),展示给用户扫码。 2)用户打开微信“扫一扫”扫描二维码,微信客户端将扫码内容...
Java 解析微信接口返回xml字符串的方法
半个西瓜的博客
01-06 7784
【代码】Java 解析微信接口返回xml字符串的方法。
微信支付 Java SDK XXE 漏洞原因
最新发布
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值