2018
07-03
07-03
微信支付Java SDK XXE漏洞实战浅析
微信支付SDK JAVA版今天曝出了XXE漏洞,主要原因是在使用DOM处理回传的XML格式的支付结果通知时,未禁用外部实体、参数实体、内联DTD等,导致存在XXE漏洞。
0x01 原理分析
作者原文分析提到在看微信支付JAVA SDK的说明文档时,发现了结果通知代码示例:
import com.... Read More >
标签归档:xxe漏洞原理
微信支付SDK JAVA版今天曝出了XXE漏洞,主要原因是在使用DOM处理回传的XML格式的支付结果通知时,未禁用外部实体、参数实体、内联DTD等,导致存在XXE漏洞。
0x01 原理分析
作者原文分析提到在看微信支付JAVA SDK的说明文档时,发现了结果通知代码示例:
import com.... Read More >