XXE in WeChat Pay Sdk

This topic created in 2889 days ago, the information mentioned may be changed or developed.

sdk 来自 WxPayApi_JAVA_v3.zip
文章作者复现了 immomo.com vivo.com.cn

3 replies • 2018-07-03 16:27:04 +08:00

qvvo

Jul 3, 2018

看了下，没看懂，信息安全门槛还是挺高的

oIMOo

Jul 3, 2018

@qvvo
背景: 付款成功验证基于某个有漏洞的 Java SDK, 攻击者可以仿造成功验证.
总结:官方升级简单, 适配需要时间.

vibbow

Jul 3, 2018

@oIMOo 针对这个 case 还有更简单的修复方法：直接把需要的 dtd 包含到代码里，而不是去网上拉取。