微信支付sdk漏洞预警-高危

漏洞：微信支付sdk xml实体注入 等级：高危 细节： 基于微信支付的应用需提供回调地址用于接收异步付款结果，微信支付sdk for java的版本中存在xml实体注入攻击漏洞，攻击者通过构造恶意payload可以读取服务器上应用信息。一旦攻击者获取app_token等秘钥信息。攻击者可利用获取的秘钥信息伪造支付请求实现零元支付。 修复方案：等待微信官方升级方案或临时添加waf规则 来源： http://seclists.org/fulldisclosure/2018/Jul/3 建议：及时修复防止被恶意利用 本地验证截图 ▼

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/