微信支付官方回應XXE漏洞問題

7月6日消息，微信支付官方在昨日發布聲明，稱微信支付的SDK重大漏洞（XXE漏洞）是XML組件默認沒有禁用外部實體引用導致。

通過該漏洞，攻擊者能夠獲得服務器中目錄結構和文件內容，如各種私鑰、代碼等。

以下為公告原文：

尊敬的微信支付商戶：

溫馨提示，請貴公司研發團隊關注XML外部實體注入漏洞(XXE)的相關信息：

1、XML外部實體注入漏洞(XML External Entity Injection，簡稱 XXE)，該安全問題是XML組件默認沒有禁用外部實體引用導致。

2、請安排貴公司技術人員排查確認其系統中接收微信支付回調通知部分的邏輯是否存在XXE漏洞，同時也請排查其他相關係統是否存在該漏洞，該漏洞極易因研發人員編碼遺漏引入且危害很大，具體的檢查和修復方案已經在微信支付商戶平台內發布公告，請儘快讓技術人員進行查看和處理。

3、微信支付安全實踐指引：https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

微信支付團隊

2018年7月5日

網站內容來源http://www.dsb.cn/

【其他文章推薦】

※想知道屏東當舖老字號合法經營當舖在哪裡嗎?

※台中當鋪,台中汽機車免留車借款，哪家可以快速借錢一次搞懂懶人包!

※借錢救急!高雄借貸有多年貸款經驗的申辦團隊,提供您更多融資借貸、小額借貸!

※別擔心!台北市當舖首選,台北當舖幫你處理借貸問題，助你靈活運用錢!

※台北汽車借款免留車服務,讓您的汽機車變為活用的週轉金!!

※持台灣銀行發行的信用卡，在國外也可以信用卡換現金嗎?