国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

18143453325 在線咨詢 在線咨詢
18143453325 在線咨詢
所在位置: 首頁 > 營銷資訊 > 行業(yè)動態(tài) > 十、 微信支付Java SDK XXE漏洞

十、 微信支付Java SDK XXE漏洞

時間:2022-04-26 14:06:02 | 來源:行業(yè)動態(tài)

時間:2022-04-26 14:06:02 來源:行業(yè)動態(tài)

2018年6月底,國外安全社區(qū)公布微信支付官方SDK存在嚴重漏洞,可導(dǎo)致商家服務(wù)器被入侵,一旦攻擊者獲得商家的關(guān)鍵安全密鑰,就可以通過發(fā)送偽造信息來欺騙商家而無需付費購買任何東西。目前,漏洞詳細信息以及攻擊方式已被公開,該漏洞影響范圍巨大,建議用到 JAVA SDK 的商戶快速檢查并修復(fù)。

微信支付SDK JAVA版的 XXE 漏洞,主要存在于商家服務(wù)器端的支付結(jié)果回調(diào) URL 處。在該處使用 DOM 處理回傳的 XML 格式的支付結(jié)果通知時,未禁用外部實體、參數(shù)實體、內(nèi)聯(lián) DTD 等,從而導(dǎo)致存在 XXE 漏洞。

(注:漏洞順序按360安全監(jiān)測與響應(yīng)中心發(fā)布安全預(yù)警通告的時間順序排序。)

關(guān)鍵詞:漏洞,支付

74
73
25
news

版權(quán)所有? 億企邦 1997-2022 保留一切法律許可權(quán)利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點擊下載Chrome瀏覽器
關(guān)閉