一、背景 昨天（2018-07-04）微信支付的SDK曝出重大漏洞（XXE漏洞），通过该漏洞，攻击者可以获取服务器中目录结构、文件内容，如代码、各种私钥等。获取这些信息以后，攻击者便可以为所欲为，其中就包括众多媒体所宣传的“0元也能买买买”。 漏洞报告地址；http ...

官方回应连接：https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 其中明确指出了代码修改的地方。 然后看到此文档后，我就改公司项目中代码，项目中支付时并没有涉及到XML解析， 而是在支付后，微信回调告知支付结果时 ...

最近微信支付回调发现的XXE攻击漏洞(什么是XXE攻击，度娘、bing去搜，一搜一大把)，收到通知后即检查代码， 微信给的解决方法是如果你使用的是： XmlDocument: 我们做微信支付没有使用他们的SDK，底层解析XML没有使用XmlDocument，用的是序列化 ...

java中禁止外部实体引用的设置方法不止一种，这样就导致有些开发者修复的时候采用的错误的方法 之所以写这篇文章是有原因的！最早是有朋友在群里发了如下一个pdf， 而当时已经是2019年1月末了，应该不是2018年7月份那个引起较大轰动的alipay java sdk的了，我突然虎躯 ...

我觉得玩微信支付最大的难点和瓶颈并不是微信支付本身,而是能够拿到微信支付的权限.首先微信支付所面向的开发对象不是个人,所以个人开发者不会有这样的权限,另外一方面公司的微信号又不会随便给个人进行开发,这样就陷入了一个比较尴尬的循环! 在好不容易搞到权限后,发现官方的sdk里面竟然有.NET版本 ...

1搜索微信商户平台。进入开发文档 2选择相应的开发应用，其实大都差不多。我这边做的是小程序，就以小程序为例。选择小程序，下载对应的sdk. 4下载完对应的sdk以及dome之后。使用的时候，直接使用pom文件导入，然后安装，最后导入到自己使用发服务中即可。重点--小 ...

今天，微信支付发布了一则紧急通知： 尊敬的微信支付商户： 您的系统在接受微信支付XML格式的商户回调通知（支付成功通知、退款成功通知、委托代扣签约/解约/扣款通知、车主解约通知）时，如未正确地进行安全设置或编码，将会引入有较大安全隐患的XML外部实体注入漏洞 ...

App对接微信调起微信支付需要在微信平台注册，鉴别的标识就是App的包名，所以将申请的包名单独打包成一个Apk文件，则在其他的App调起此Apk的时候同样可以起到调用微信支付的功能。这样就实现了调起微信支付的SDk的功效。操作实现中要将Apk文件安放在assets文件夹的目录下。 当安装好App ...