PHP微信支付----xxe攻击

最新推荐文章于 2022-01-30 00:53:04 发布
最新推荐文章于 2022-01-30 00:53:04 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: 安全 文章标签: 微信支付xxe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangzhangdan/article/details/80929875
版权

这两天,微信支付有bug的消息迅速传播,那这个到底是什么导致的呢:

微信支付后回调通知的xml文件中,被人恶意添加数据,导致返回信息不准确,微信有官方文档说明:点击打开链接

我们项目用的是PHP作为开发语言,接到领导通知要我看看我们的项目有没有受影响,可是,这个支付功能是很久以前就写好的,而我才来不久,也没接触过微信支付的功能,心中已泪千行, 不知从何下手大哭

于是,就疯狂找资料,了解到,微信官方提出的解决方案为一个函数:libxml_disable_entity_loader(true); //防止引入外部xml文件,那么,它具体要被加到哪里呢,很疑惑。。。。

看了资料,关于xml和array相互转换,在xml数据转换为array时,要加这一个函数:点击打开链接

后来,又看资料说更新一下微信支付的sdk包,因为微信的sdk已修复了这个bug,这下,终于找到地方了大笑

下载最新安装包后,就与线上的旧sdk进行对比,最后发现新sdk,lib/WxPay.Data.php中新增libxml_disable_entity_loader(true)函数




Z单单
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 ...XXE 科学技术研究院
php微信支付漏洞,微信支付的SDK曝出重大漏洞(XXE漏洞)
weixin_29231027的博客
03-23 346
一、背景昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3二、漏洞原理1. XXE漏洞此次曝出的漏洞属于XXE漏...
微信支付xxe漏洞php,XXE 漏洞对微信支付有什么影响?
weixin_29294597的博客
04-01 61
senparclsx14 个回复• 查看 176 次• 52天前magiboy11 个回复• 查看 288 次• 91天前yintingji10 个回复• 查看 96 次• 5天前zxz5249 个回复• 查看 62 次• 8天前花看半开丶9 个回复• 查看 308 次• 111天前a52188967 个回复• 查看 284 次• 106天前dreameeq6 个回复• 查看 222 次• 52天...
php微信支付漏洞,微信支付问题。我微信支付后台提示支付高危漏洞,不知道系统解决没有...
weixin_39585886的博客
03-23 207
关于XML解析存在的安全问题指引微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,请务必检查是否对进行了防范。场景1:支付成功通知;场景2:退款成功通知;场景3:委托代扣签约、解约...
php 支付添加安全措施,为您介绍5个 PHP 安全措施_PHP教程
weixin_31108739的博客
03-23 188
多年来,PHP一直是一个稳定的、廉价的运行基于web应用程序的平台。像大多数基于web的平台一样,PHP也是容易受到外部攻击的。开发人员、数据库架构师和系统管理员在部署PHP应用程序到服务器之前都应该采取预防措施。大部分预防措施可以通过几行代码或者把应用程序设置稍作调整即可完成。1:管理安装脚本如果开发人员已经安装了一套第三方应用程序的PHP脚本,该脚本用于安装整个应用程序的工作组件,并提供一个接...
支付安全性php,【付费】前端密码传输,支付请求等等类对安全性比较高的数据传输安全问题?...
weixin_33833234的博客
03-20 172
先说 HTTPS, HTTPS在 TCP 和 HTTP 协议之间添加了一层用来加密(加密原理就不说了),上层不用考虑具体下层的实现,服务器(发送页面,AJax通信等)不用考虑底层的实现,也就是说你写 PHP 的代码,所有数据都是加密发送出去的,可以保证所有的数据不被窃听不被篡改,所以你可以不用考虑任何与加密相关的事情就可以认为通信是安全的。这种安全仅仅是指防止链路上的窃听和篡改,只是说服务器和客户...
XXE - 防御策略-01
09-15
XXE - 防御策略-01
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
WebGoat8-xxe注入漏洞分析
最新发布
09-15
WebGoat8-xxe注入漏洞分析
php二进制安全的含义
dcj3sjt126com的专栏
07-10 142
PHP里,有string的概念。string里,每个字符的大小为byte(与PHP相比,Java的每个字符为Character,是UTF8字符,C语言的每个字符可以在编译时选择)。byte里,有ASCII代码的字符,例如ABC,123,abc,也有一些特殊字符,例如回车,退格之类的。特殊字符很多是不能显示的。或者说,他们的显示方式没有标准,例如编码65到哪儿都是字母A,编码97到哪儿都是字符a,...
PHP代码安全3-Ajax与逻辑支付问题(“零元购“)
ThegreatHaige的博客
01-30 235
三.AJAX身份验证及其相关逻辑支付 1.AJAX身份验证 Ajax定义: AJAX不是JavaScript的规范,它只是一个哥们“发明”的缩写:Asynchronous JavaScript and XML,意思就是用JavaScript执行异步网络请求。 异步:指的是一次性发送多个数据再进行校验。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <titl
支付安全注意事项
changNet的专栏
07-19 1026
https://www.zhihu.com/question/24083362 关键数据明文传输: (1)获取支付宝支付参数 http://api-sit.pbsedu.com/interface/EduInterface.php { “Parameters”: “{\”purchaseId\”:\”201703031032358230\”,\”type\”:\”7\”,\”platTyp
xss攻击之盗取账号
zhangzhangdan的博客
07-17 5050
XSS攻击:跨站脚本攻击(Cross Site Scripting),是一种用javascript脚本写的攻击方式 一般测试,我们会在运行的一段代码中写入一段javascript代码,在程序运行的的时候它会显示出来: &lt;?php public function index() { $str = "&lt;sctipt&gt;alert('aa')&lt;script&gt;"; ...
xss攻击之新浪微博xss蠕虫
zhangzhangdan的博客
07-21 2553
xss蠕虫:通过一个bug,感染其他结构都出现问题 我们根据一段xss攻击链接来看一下: 很显然,javascript代码被解析了,那它原型是什么呢,怎么看  通过这样我们可以看出,这段javascript代码是指向一个js文件,js文件中写的是一些文章标题链接,而这段链接也是携带这段javascript代码,这样当有人点击了这段链接,就又执行这个xss攻击操作了,这样一传十,十传百...
xss攻击与防御
zhangzhangdan的博客
12-30 2057
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它 用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(sam
yii防sql注入
zhangzhangdan的博客
07-24 1077
sql注入就是通过sql语句拼接的一种攻击方式,通常都是以这样的形式出现 那么yii框架中是怎么防护的呢 附加: 防sql一般也用到过这个函数:addslashes来转义接收字符...
yii防护csrf攻击
zhangzhangdan的博客
07-23 892
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因...
微信支付 Java SDK XXE 漏洞原因
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全的XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值