wxpay icon indicating copy to clipboard operation
wxpay copied to clipboard

Published 20 hours ago verified publisher icon smartwalle

微信官方发出警告,wxpay 注意防范 XXE 攻击。

Open panjunjie opened this issue 6 years ago • 0 comments

尊敬的微信支付商户:

您的系统在接受微信支付XML格式的商户回调通知(支付成功通知、退款成功通知、委托代扣签约/解约/扣款通知、车主解约通知)时,如未正确地进行安全设置或编码,将会引入有较大安全隐患的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE)。

请贵司研发人员务必参考微信支付安全实践指引:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 ,进行安全隐患确认和排除。

微信支付团队 2018年7月4号

panjunjie avatar Jul 05 '18 01:07 panjunjie