一、背景 昨天（2018-07-04）微信支付的SDK曝出重大漏洞（XXE漏洞），通過該漏洞，攻擊者可以獲取服務器中目錄結構、文件內容，如代碼、各種私鑰等。獲取這些信息以后，攻擊者便可以為所欲為，其中就包括眾多媒體所宣傳的“0元也能買買買”。 漏洞報告地址；http ...

官方回應連接：https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 其中明確指出了代碼修改的地方。 然后看到此文檔后，我就改公司項目中代碼，項目中支付時並沒有涉及到XML解析， 而是在支付后，微信回調告知支付結果時 ...

最近微信支付回調發現的XXE攻擊漏洞(什么是XXE攻擊，度娘、bing去搜，一搜一大把)，收到通知后即檢查代碼， 微信給的解決方法是如果你使用的是： XmlDocument: 我們做微信支付沒有使用他們的SDK，底層解析XML沒有使用XmlDocument，用的是序列化 ...

java中禁止外部實體引用的設置方法不止一種，這樣就導致有些開發者修復的時候采用的錯誤的方法 之所以寫這篇文章是有原因的！最早是有朋友在群里發了如下一個pdf， 而當時已經是2019年1月末了，應該不是2018年7月份那個引起較大轟動的alipay java sdk的了，我突然虎軀 ...

我覺得玩微信支付最大的難點和瓶頸並不是微信支付本身,而是能夠拿到微信支付的權限.首先微信支付所面向的開發對象不是個人,所以個人開發者不會有這樣的權限,另外一方面公司的微信號又不會隨便給個人進行開發,這樣就陷入了一個比較尷尬的循環! 在好不容易搞到權限后,發現官方的sdk里面竟然有.NET版本 ...

1搜索微信商戶平台。進入開發文檔 2選擇相應的開發應用，其實大都差不多。我這邊做的是小程序，就以小程序為例。選擇小程序，下載對應的sdk. 4下載完對應的sdk以及dome之后。使用的時候，直接使用pom文件導入，然后安裝，最后導入到自己使用發服務中即可。重點--小 ...

今天，微信支付發布了一則緊急通知： 尊敬的微信支付商戶： 您的系統在接受微信支付XML格式的商戶回調通知（支付成功通知、退款成功通知、委托代扣簽約/解約/扣款通知、車主解約通知）時，如未正確地進行安全設置或編碼，將會引入有較大安全隱患的XML外部實體注入漏洞 ...

App對接微信調起微信支付需要在微信平台注冊，鑒別的標識就是App的包名，所以將申請的包名單獨打包成一個Apk文件，則在其他的App調起此Apk的時候同樣可以起到調用微信支付的功能。這樣就實現了調起微信支付的SDk的功效。操作實現中要將Apk文件安放在assets文件夾的目錄下。 當安裝好App ...