0元支付不是梦 微信支付sdk漏洞预警

漏洞：微信支付sdk xml实体注入   等级：高危   细节： 基于微信支付的应用需提供回调地址用于接收异步付款结果，微信支付sdk for java的版本中存在xml实体注入攻击漏洞，攻击者通过构造恶意payload可以读取服务器上应用信息。一旦攻击者获取app_token等秘钥信息。攻击者可利用获取的秘钥信息伪造支付请求实现零元支付。   修复方案：等待微信官方升级方案或临时添加waf规则   来源： http://seclists.org/fulldisclosure/2018/Jul/3   建议：及时修复防止被恶意利用   本地验证截图 ▼

2018年7月3日

---

知安，您产品的安全医院！ http://www.knowsafe.com/

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/