欢迎光临郑州小程序开发服务商壹点胜科技 网站地图 | 联系我们
当前位置:主页 > 网站建设文章 >

壹点胜科技

开发常识
开发案例
关于壹点胜
联系我们

联系我们

  服务热线

0371-56603669

手机:18638746614

  公司地址

郑州市北环路索凌路庙李大厦6单元1101室

微信支付漏洞的如何修复的?

更新时间:2019-12-17 15:16:55点击次数:652次字号:T|T
最近郑州壹点胜被客户一个问题问懵了,这个客户需要做一个微信商城,问我们微信支付的漏洞怎么解决。其实这个微信支付的漏洞是去年市场上曝出来的,后来很快的被微信官方解决了,可以说现在微信支付的安全是没有问题。鉴于有客户对这件事情不了解,所以今天我们就来给大家详细的介绍下去年的微信漏洞是怎么回事,以及是如何修复的。

最近郑州壹点胜被客户一个问题问懵了,这个客户需要做一个微信商城,问我们微信支付的漏洞怎么解决。其实这个微信支付的漏洞是去年市场上曝出来的,后来很快的被微信官方解决了,可以说现在微信支付的安全是没有问题。鉴于有客户对这件事情不了解,所以今天我们就来给大家详细的介绍下去年的微信漏洞是怎么回事,以及是如何修复的。

微信支付漏洞的如何修复的?

2018年微信支付出现了一个漏洞,还在国外安全社区公布了微信支付官方SDK存在的严重漏洞,此漏洞可侵入商家服务器,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西。

此次曝出的漏洞属于XXE漏洞,即XML外部实体注入(XML External Entity Injection)。XML文档处理可以包含声明和元素以外,还可以包含文档类型定义(即DTD)。在DTD中,可以引进实体,在解析XML时,实体将会被替换成相应的引用内容。该实体可以由外部引入(支持http、ftp等协议,后文以http为例说明),如果通过该外部实体进行攻击,就是XXE攻击。

可以说,XXE 漏洞之所以能够存在,本质上在于在解析 XML 的时候,可以与外部进行通信;当XML文档可以由攻击者任意构造时,攻击便成为可能。在利用 XXE 漏洞可以做的事情当中,最常见最容易实现的,便是读取服务器的信息,包括目录结构、文件内容等;本次微信支付爆出的漏洞便属于这一种。

本次漏洞影响的范围是:在微信支付异步回调接口中,使用微信支付SDK进行XML解析的应用。注意这里的SDK是服务器端的SDK,APP端使用SDK并不受影响。解决该漏洞的原理非常简单,只要禁止解析XML时访问外部实体即可。漏洞曝出以后,微信进行了紧急修复,一方面是更新了SDK,并提醒开发者使用最新的SDK。

(编辑:admin)
网站首页 小程序开发 微信开发 微信商城 物联网开发 房产系统 网站设计 关于壹点胜

[email protected] http://www.zhengzhoushi.net 郑州壹点胜电子科技有限公司 网站备案号:豫ICP备14002738号-6

电话:0371-56603669 / 18638746614   地址:郑州市金水区北环路索凌路庙李商务大厦6单元1101室  

小程序公众号二维码