掃二維碼與項目經理(lǐ)溝通(tōng)
我們在微信上24小時(shí)期待你的(de)聲音(yīn)
解答(dá)本文疑問/技術咨詢/運營咨詢/技術建議(yì)/互聯網交流
微信支付官方緊急推送關于修複XXE漏洞提示,附
2018-08-02 17:54 欄目: 技術學堂 查看()
昨天有一條關于微信支付0元購(gòu)的(de)消息在開發圈裏炸開了(le)鍋,所謂0元購(gòu)并不是用(yòng)戶抽獎,而是惡意攻擊者利用(yòng)漏洞實現0元支付。
正常的(de)支付基本流程是這(zhè)樣的(de):用(yòng)戶發起支付->調起微信支付->支付成功->微信支付服務器發送成功通(tōng)知給應用(yòng)(比如某個(gè)商城(chéng))服務端->應用(yòng)服務端解析微信支付發送的(de)通(tōng)知->解析後的(de)信息進行必要對(duì)比确認後更新訂單爲已付款狀态。
然而該漏洞,就是惡意利用(yòng)解析過程,可(kě)以造成讀任何文件、内網探測、命令執行等問題。
鄭重申明(míng):某某網絡以外的(de)任何單位或個(gè)人(rén),不得(de)使用(yòng)該案例作爲工作成功展示!
- 在線咨詢
- 15562195633
-
微信二維碼
-
移動版官網