github地址：https://github.com/line007/jucdemo2 博客地址：https://line007.github.io/ ...

一、背景 昨天（2018-07-04）微信支付的SDK曝出重大漏洞（XXE漏洞），通過該漏洞，攻擊者可以獲取服務器中目錄結構、文件內容，如代碼、各種私鑰等。獲取這些信息以后，攻擊者便可以為所欲為，其中就包括眾多媒體所宣傳的“0元也能買買買”。 漏洞報告地址；http ...

最近微信支付回調發現的XXE攻擊漏洞(什么是XXE攻擊，度娘、bing去搜，一搜一大把)，收到通知后即檢查代碼， 微信給的解決方法是如果你使用的是： XmlDocument: 我們做微信支付沒有使用他們的SDK，底層解析XML沒有使用XmlDocument，用的是序列化 ...

官方回應連接：https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 其中明確指出了代碼修改的地方。 然后看到此文檔后，我就改公司項目中代碼，項目中支付時並沒有涉及到XML解析， 而是在支付后，微信回調告知支付結果時 ...

今天，微信支付發布了一則緊急通知： 尊敬的微信支付商戶： 您的系統在接受微信支付XML格式的商戶回調通知（支付成功通知、退款成功通知、委托代扣簽約/解約/扣款通知、車主解約通知）時，如未正確地進行安全設置或編碼，將會引入有較大安全隱患的XML外部實體注入漏洞 ...

注入漏洞： 　　XXE漏洞全稱XML External Entity Injection即xml外部 ...

XXE漏洞概述 XXE(XML External Entity Injection) 漏洞發生在應用程序解析 XML 解析時，沒有禁止外部實體的執行的權限，利用支持的協議進行內網探測和入侵（不用的語言支持的協議不一致）， 參考https://security.tencent.com ...

　 一、XXE 是什么 XXE(XML External Entity Injection)，即xml外部實體注入，由於程序在解析輸入的數據過程中，解析了攻擊者偽造的外部實體造成的攻擊。 二、什么是xml： XML文件格式是純文本格式，在許多方面類似於HTML，XML由XML元素組成，每個 ...