掃二維碼與項目經理(lǐ)溝通
我們在微信上24小時期待你的(de)聲音
解答本文疑問/技術咨詢/運營咨詢/技術建議/森新拿遠互聯網交流
微信支付官方緊急推送關于修複XXE漏洞提示,附
2018-08-02 17:54 欄目: 技術學(xué)堂 查看()
昨天有一(yī)條關于微信支付0元購的(線雪匠討de)消息在開發圈裏炸開了鍋,所謂0元購并不是用戶抽獎,亮現下行而是惡意攻擊者利用漏洞實現0元支付。
正常的(de)支付基本流程是這樣的(de):用戶發起支付->多就綠火調起微信支付->支付成功->微信支付服還吃湖但務器發送成功通知給應用(比如(rú)某個商城)服務端->應用服務端電師光現解析微信支付發送的(de)通知->解析後的(de)信息進行必要對比坐我現坐确認後更新訂單為(wèi)已付款狀态。
然而該漏洞,就是惡意利用解析過程,可(kě)以造成讀任何文件、內(nèi)網探測、命令執人嗎務空行等問題。
鄭重申明:某某網絡以外的(de)任何單位或個人,不得使用該案例作為(上生志校wèi)工作成功展示!
- 在線咨詢
- 15051758883
-
微信二維碼
-
移動版官網