微信支付安全漏洞及签名错误

最新推荐文章于 2022-09-26 17:07:08 发布
最新推荐文章于 2022-09-26 17:07:08 发布
阅读量1k 收藏 2
点赞数
分类专栏: 微信支付 文章标签: WXPayConfig 微信签名错误 wxpay-sdk 微信支付安全漏洞 XXE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38319647/article/details/94555056
版权

故事起因 漏洞详情https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5

  1. 导包,如果引入com.github.wxpay最高版本0.0.3 
                    <dependency>
			<groupId>com.github.tedzhdz</groupId>
			<artifactId>wxpay-sdk</artifactId>
			<version>3.0.9</version>
		</dependency>

     

  2.  0.0.3版本WXPayConfig是个接口,引入上面的包是个抽象类,注意:子类跟抽象类必须同包名

    package com.github.wxpay.sdk;

import java.io.ByteArrayInputStream;
import java.io.InputStream;
/**
 * 该类必须与继承抽象类同包名
 * @author jxh
 *
 */
public class MyPayConfig extends WXPayConfig{
	private byte[] certData; 
	//公众账号ID 
	private String appID="wxXXXXXXXXXXXXXXX"; 
	//商户号 
	private String mchID = "XXXXXXXX"; 
	//密钥 
	private  String key = "XXXXXXXXXXXXXXXXXXXXX";
	public MyPayConfig() {}
	@Override 
	String getAppID() { return appID; }
	@Override 
	String getMchID() { return mchID; }
	@Override 
	String getKey() { return key; }
	@Override 
	InputStream getCertStream() { 
		ByteArrayInputStream certBis = new        ByteArrayInputStream(this.certData); 
		return certBis; 
	}

	@Override 
	public int getHttpConnectTimeoutMs() { 
		return 8000; 
	}
	@Override 
	public int getHttpReadTimeoutMs() { 
		return 10000; 
	}
	@Override 
	IWXPayDomain getWXPayDomain() {
		//必须实例化,否则WxPay初始化失败
		IWXPayDomain iwxPayDomain = new IWXPayDomain() { 
			public void report(String domain, long elapsedTimeMillis, Exception ex) {

			} 
			public DomainInfo getDomain(WXPayConfig config) { 
				return new IWXPayDomain.DomainInfo(WXPayConstants.DOMAIN_API, true); 
			} 
		}; 
		return iwxPayDomain; 
	}

}

    3.签名错误

              微信沙箱环境MD5,其他默认SignType.HMACSHA256,WXPay如果isPayResultNotifySignatureValid该方法签名失败,用isResponseSignatureValid搞定

    public WXPay(final WXPayConfig config, final String notifyUrl, final boolean autoReport, final boolean useSandbox) throws Exception {
        this.config = config;
        this.notifyUrl = notifyUrl;
        this.autoReport = autoReport;
        this.useSandbox = useSandbox;
        if (useSandbox) {
            this.signType = SignType.MD5; // 沙箱环境
        }
        else {
            this.signType = SignType.HMACSHA256;
        }
        this.wxPayRequest = new WXPayRequest(config);
    }

 引用:https://blog.csdn.net/fuck487/article/details/89403771(很好)

https://blog.csdn.net/weixin_42161659/article/details/89097665 

 

 

 

weixin_38319647
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信支付最新SDK wxpay-sdk-0.0.3
09-03
这是微信官方封装的微信支付SDK Jar包最新版本--wxpay-sdk-0.0.3。
微信支付demo
12-06
微信支付是腾讯公司推出的移动支付服务,主要应用于微信应用程序内进行商品或服务的交易。...另外,为了确保交易安全,需要遵循微信支付的安全规范,比如避免明文传输敏感信息,定期更新SDK以修复可能的安全漏洞
wxpay-sdk 接入微信支付sdk0.0.3,前端第二次调用之后支付验证签名失败
u013934601的博客
08-06 1077
报错,明显你的签名有问题,现在分析签名如何生成 微信H5内置对象唤起方式: function onBridgeReady(){ WeixinJSBridge.invoke( ‘getBrandWCPayRequest’, { “appId”:“wx2421b1c4370ec43b”, //微信公众号APPID “timeStamp”:“1395712654”, //时间戳,自1970年以来的秒数 “nonceStr”:“e61463f8efa94090b1f366cccfbbb44
微信支付接口调用】
qq_39445235的博客
09-26 1186
微信支付接口调用
微信PC扫码支付(一)-maven本地仓库安装:微信支付sdk
蔡龙的技术交流站
01-30 4928
背景: maven中央仓库没找到像样的微信jar包依赖,所以就把微信支付的jar包,安装到本科maven仓库,然后项目里直接引用; 下载SDK网址: https://pay.weixin.qq.com/wiki/doc/api/native.php?chapter=11_1 使用: 第一步:把Jar包放到 D:\ 目录下 (just为了方便) 第二步:我们cmd进入 然后 贴入命...
微信支付HTTPS服务器证书验证
beyond__devil的博客
05-20 4417
微信支付计划于2018-05-29日更换服务器证书,这个通知已经N次了,一直不想整,没办法,时间快到了,得处理了。今天抽空整了下,写篇 blog 记录下: 首先看: 微信支付HTTPS服务器证书验证指引 https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_4 我对服务器不是很了解,对证书这个东西也没了解过。打...
java接入微信APP支付/支付宝APP支付
01-09
- 定期更新支付平台的SDK,避免已知的安全漏洞。 - 设计良好的错误处理机制,防止因网络问题或支付平台故障导致的业务异常。 4. **开发实践**: - 参考提供的博客链接...
DelphiXE微信支付&amp;支付宝支付到个人账户源代码
08-16
同时,源代码的调试和测试至关重要,确保在实际环境中能够正确处理支付流程,避免出现安全漏洞或用户体验问题。 6. **安全考虑**:在实现支付功能时,必须重视用户支付信息的安全性。支付过程中涉及的敏感信息,如...
支付宝wap支付接口、微信H5支付接口
10-24
2. 商家应关注接口的安全性,定期更新密钥,防止因为安全漏洞造成资金损失。 3. 在正式上线前,务必进行全面的测试,包括各种支付场景、异常情况的处理,以确保用户体验和交易成功率。 4. 定期检查和维护回调URL的...
微信支付开发对接测试教程
05-09
### 微信支付开发对接测试教程 #### 一、引言 随着移动互联网技术的快速发展,移动支付已经成为...通过上述步骤的学习和实践,开发者可以顺利完成微信支付的开发对接及测试流程,为用户提供便捷、安全的支付体验。
微信支付sdk jar包下载
05-04
微信支付jar包下载2017年最新版
php微信支付漏洞,微信支付sdk被曝xxe漏洞漏洞原理分析
weixin_39689700的博客
03-23 131
昨日在国外安全社区seclists有一个署名叫Rose Jackcode的白帽子公布了微信支付sdk的一个严重的安全漏洞(xxe漏洞)。攻击者可以伪造一个恶意的回调数据请求(xml格式),读取商户服务器上任意文件,甚至可以执行远程系统命令,导致商户服务器被入侵。目前微信支付安全团队表示已对该SDK进行更新,修复了已知的安全漏洞,并在此提醒商户及时更新。虽然微信支付官网上的sdk更新了,但是漏洞是存...
【SpringBoot应用篇】接入微信支付
输入技术、输出想法
06-23 2804
微信支付
闪聚支付 第3章-微信支付接入指南
9.冄2.7.號的博客
08-05 2709
支付产品 产品列表 微信为普通商户提供如下支付产品: 产品介绍详见:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=2_1 1、付款码支付 付款码支付是用户展示微信钱包内的“刷卡条码/二维码”给商户系统扫描后直接完成支付的模式,即B扫C模式。主要应用线下面对面收银的场景。 2、Native支付 Native支付是商户系统按微信支付协议生成支付二维码,用户再用微信“扫一扫”完成支付的模式。该模式适用于PC网站支付、实体店单品或订单支付、媒体
alipay与wxpay的jar引用问题
m0_37997811的博客
03-20 2405
该文件是对于jar包的提供、maven的POM文件依赖和手动导入代码。 1、支付宝支付: jar包:alipay-sdk-java20170324180803.jar 依赖:< dependency > < groupId >com.alipay< /groupId> < artifactId >sdk-java< /artifactId&gt...
WXPaySDKDemo报错
小兔几的专栏
09-06 1976
Undefined symbols for architecture x86_64:   "_kCFStreamNetworkServiceTypeVoIP", referenced from:       -[WXOGCDAsyncSocket enableBackgroundingOnSocketWithCaveat:] in libWeChatSDK.a(GCDAsyncSock
微信支付SDK
Deltao_Taic的博客
08-10 1061
微信支付SDK 微信支付提供了SDK, 大家下载后打开源码,install到本地仓库。 使用微信支付SDK,在maven工程中引入依赖     &lt;dependency&gt;         &lt;groupId&gt;com.github.wxpay&lt;/groupId&gt;         &lt;artifactId&gt;wxpay-sdk&...
Springboot整合微信支付 --- 付款码支付
zsjwbxh的博客
08-17 2022
springboot整合微信付款码支付 从支付到退款以及回调通知 详细的一条龙服务
android 签名之后微信支付签名错误
最新发布
09-07
然而,如果在Android应用签名之后,出现微信支付签名错误的情况,可能是由以下原因造成的: 1. 签名文件不正确:在签名应用时,可能使用了错误签名文件或者签名文件被篡改,导致签名不匹配,从而引发微信支付签名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值