shuaiqidundun的博客

原创 微信支付XML外部实体注入安全漏洞（XXE的攻击）

商户接收回调通知URL对应的程序代码，如果不遵循安全规范，将会有XML外部实体注入漏洞(XML External Entity Injection，简称 XXE)，该安全问题是由XML组件默认没有禁用外部实体引用导致，非微信支付系统存在漏洞。商户可能出现资金损失的情况，所以请贵司重视，必须修复漏洞。外界攻击者通过模拟回调通知，在回调通知中引入不安全的XML，即可在商户服务器上执行系统命令。` XXE漏洞的修复方法，是在解析XML之前加入禁用实体解析的代码。