微(wēi)信支付官方緊急推送關于修複XXE漏洞提示,附

2018-08-02 17:54 欄目: 技(jì)術學堂 查看(kàn)()

昨天有(yǒu)一條關于微(wēi)信支付0元購的(de)消息在開(kāi)發圈裏炸開(kāi)了鍋,所謂0元購并不是用戶抽獎,而是惡意攻擊者利用漏洞實現(xiàn)0元支付。

正常的(de)支付基本流程是這(zhè)樣的(de):用戶發起支付->調起微(wēi)信支付->支付成功->微(wēi)信支付服務器(qì)發送成功通(tōng)知給應用(比如某個(gè)商城(chéng))服務端->應用服務端解析微(wēi)信支付發送的(de)通(tōng)知->解析後的(de)信息進行必要對(duì)比确認後更新訂單為(wèi)已付款狀态。

然而該漏洞,就是惡意利用解析過程,可以造成讀任何文(wén)件(jiàn)、內(nèi)網探測、命令執行等問(wèn)題。

掃二維碼與項目經理(lǐ)溝通(tōng)

我們在微(wēi)信上(shàng)24小(xiǎo)時(shí)期待你(nǐ)的(de)聲音(yīn)

解答(dá)本文(wén)疑問(wèn)/技(jì)術咨詢/運營咨詢/技(jì)術建議(yì)/互聯網交流

鄭重申明(míng):某某網絡以外(wài)的(de)任何單位或個(gè)人(rén),不得使用該案例作(zuò)為(wèi)工(gōng)作(zuò)成功展示!