微信支付官方紧急推送关于修复XXE漏洞提示，附

2018-08-02 17:54 栏目：行业交流 查看()

昨天有一条关于微信支付0元购的消息在开发圈里炸开了锅，所谓0元购并不是用户抽奖，而是恶意攻击者利用漏洞实现0元支付。

正常的支付基本流程是这样的：用户发起支付->调起微信支付->支付成功->微信支付服务器发送成功通知给应用（比如某个商城）服务端->应用服务端解析微信支付发送的通知->解析后的信息进行必要对比确认后更新订单为已付款状态。

然而该漏洞，就是恶意利用解析过程，可以造成读任何文件、内网探测、命令执行等问题。

全景拍摄制作、网站/小程序/App开发

家装/婚庆/餐饮/教育/公共医疗等行业解决方案

郑重申明：元创全景以外的任何单位或个人，不得使用该内容作为工作成功案例展示！部分素材来源网络，如有侵权，请联系删除。

行业交流