微信支付被爆出存在XXE漏洞,可以伪造提交信息。
什么是XXE漏洞?
XXE就是XML外部实体注入。如果没有禁止引用外部实体的时候,我们可以构造恶意的实体,然后注入,恶意用户可以通过这个漏洞读取任意的文件,可以去执行任意的系统内部命令,还能去探测内网端口和攻击内网网站。
微信xxe漏洞的爆出着还贴出了具体使用漏洞攻击的两个例子,分别是陌陌和vivo。
微信团队对此高度重视,建议java语言使用微信sdk开发微信支付的用户快速进行检查和修复,以防止恶意用户通过这个漏洞进行攻击造成财产损失。怎么修复和防范呢?
前面提了这是开发人员没有禁止引用外部实体,把这个禁止掉就应该能有效的解决啦!
你还在看什么?你的公司修复了吗
| 留言与评论(共有 0 条评论) |
