电商信息资讯,更全更新信息实报!
首页>>动态 > 正文

微信支付官方回应XXE漏洞问题

来源:本站 发布时间:2019-10-31 07:38:20 标签:
浏览:61

据悉,微信支付官方在5日发布声明,称微信支付的SDK重大漏洞(XXE漏洞)是XML组件默认没有禁用外部实体引用导致。

通过该漏洞,攻击者能够获得服务器中目录结构和文件内容,如各种私钥、代码等。

微信支付官方回应XXE漏洞问题

以下为公告原文:

尊敬的微信支付商户:

温馨提示,请贵公司研发团队关注XML外部实体注入漏洞(XXE)的相关信息:

1、XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是XML组件默认没有禁用外部实体引用导致。

2、请安排贵公司技术人员排查确认其系统中接收微信支付回调通知部分的逻辑是否存在XXE漏洞,同时也请排查其他相关系统是否存在该漏洞,该漏洞极易因研发人员编码遗漏引入且危害很大,具体的检查和修复方案已经在微信支付商户平台内发布公告,请尽快让技术人员进行查看和处理。

3、微信支付安全实践指引:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

标签:

活动

更多 >

热门文章

人物

更多 >
人物最贵的离职:陆奇带走了百度900亿市值
人物吴欣鸿:美图秀秀下一个十年发力图片社交
人物5G投票门还未平息,柳传志为10家企业高管上了一
人物李彦宏:百度有自己的价值观 未来“AI战略”不
人物马云:区块链不是泡沫

专题

更多 >