微信支付官方緊急推送關于修複XXE漏洞提示，附

昨天有一條關于微信支付0元購(gòu)的(de)消息在開發圈裏炸開了(le)鍋，所謂0元購(gòu)并不是用(yòng)戶抽獎，而是惡意攻擊者利用(yòng)漏洞實現0元支付。

正常的(de)支付基本流程是這(zhè)樣的(de)：用(yòng)戶發起支付->調起微信支付->支付成功->微信支付服務器發送成功通(tōng)知給應用(yòng)（比如某個(gè)商城(chéng)）服務端->應用(yòng)服務端解析微信支付發送的(de)通(tōng)知->解析後的(de)信息進行必要對(duì)比确認後更新訂單爲已付款狀态。

然而該漏洞，就是惡意利用(yòng)解析過程，可(kě)以造成讀任何文件、内網探測、命令執行等問題。

上一篇：一個(gè)神奇的(de)“bug”挽回了(le)整台服務器的(de)數據

下(xià)一篇：Discuz用(yòng)戶分(fēn)表後怎麽通(tōng)過uid獲取用(yòng)戶信息的(de)方法