香港汽車網;香港車友交流平台
首页>>動態 > 正文

微信支付官方回应XXE漏洞问题

香港汽車網 HKQCW.COM 來源:本站 時間:2019-10-31 07:38:20 標簽:
浏覽:256

据悉,微信支付官方在5日发布声明,称微信支付的SDK重大漏洞(XXE漏洞)是XML组件默认没有禁用外部实体引用导致。

通过该漏洞,攻击者能够获得服务器中目录结构和文件内容,如各种私钥、代码等。

微信支付官方回应XXE漏洞问题

以下为公告原文:

尊敬的微信支付商户:

温馨提示,请贵公司研发团队关注XML外部实体注入漏洞(XXE)的相关信息:

1、XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是XML组件默认没有禁用外部实体引用导致。

2、请安排贵公司技术人员排查确认其系统中接收微信支付回调通知部分的逻辑是否存在XXE漏洞,同时也请排查其他相关系统是否存在该漏洞,该漏洞极易因研发人员编码遗漏引入且危害很大,具体的检查和修复方案已经在微信支付商户平台内发布公告,请尽快让技术人员进行查看和处理。

3、微信支付安全实践指引:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

標簽:

活動

更多 >

熱門資訊

人物

更多 >
人物吴欣鸿:美图秀秀下一个十年发力图片社交
人物5G投票门还未平息,柳传志为10家企业高管上了一
人物李彦宏:百度有自己的价值观 未来“AI战略”不
人物马云:区块链不是泡沫
人物杨元庆回应被剔出恒生指数:那不是我关心的事

專題

更多 >