github地址：https://github.com/line007/jucdemo2 博客地址：https://line007.github.io/ ...

一、背景 昨天（2018-07-04）微信支付的SDK曝出重大漏洞（XXE漏洞），通过该漏洞，攻击者可以获取服务器中目录结构、文件内容，如代码、各种私钥等。获取这些信息以后，攻击者便可以为所欲为，其中就包括众多媒体所宣传的“0元也能买买买”。 漏洞报告地址；http ...

最近微信支付回调发现的XXE攻击漏洞(什么是XXE攻击，度娘、bing去搜，一搜一大把)，收到通知后即检查代码， 微信给的解决方法是如果你使用的是： XmlDocument: 我们做微信支付没有使用他们的SDK，底层解析XML没有使用XmlDocument，用的是序列化 ...

官方回应连接：https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 其中明确指出了代码修改的地方。 然后看到此文档后，我就改公司项目中代码，项目中支付时并没有涉及到XML解析， 而是在支付后，微信回调告知支付结果时 ...

今天，微信支付发布了一则紧急通知： 尊敬的微信支付商户： 您的系统在接受微信支付XML格式的商户回调通知（支付成功通知、退款成功通知、委托代扣签约/解约/扣款通知、车主解约通知）时，如未正确地进行安全设置或编码，将会引入有较大安全隐患的XML外部实体注入漏洞 ...

注入漏洞： 　　XXE漏洞全称XML External Entity Injection即xml外部 ...

XXE漏洞概述 XXE(XML External Entity Injection) 漏洞发生在应用程序解析 XML 解析时，没有禁止外部实体的执行的权限，利用支持的协议进行内网探测和入侵（不用的语言支持的协议不一致）， 参考https://security.tencent.com ...

　 一、XXE 是什么 XXE(XML External Entity Injection)，即xml外部实体注入，由于程序在解析输入的数据过程中，解析了攻击者伪造的外部实体造成的攻击。 二、什么是xml： XML文件格式是纯文本格式，在许多方面类似于HTML，XML由XML元素组成，每个 ...