微信支付的XXE漏洞 如何解决

**
后台为java。做微信支付时被通知有XXE漏洞。我在回调接口中解析XML时已禁止实体注入,但是这接口还有此漏洞。求助**图片说明下图是微信SDK中解析XML的防止实体注入设置。我调用WXPayUtil.xmlToMap()应该就行的吧图片说明
先把request用IO流读出成String,再传入微信的SDK接口WXPayUtil.xmlToMap()

图片说明

1个回答

可扩展标记语言 (Extensible Markup Language, XML) ,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言 (SGML) 的子集,非常适合 Web 传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。发现目前一些普遍使用xml的场景中都存在一种古老的XML实体注入漏洞,这可能导致较为严重的安全问题,使得攻击者可能可以任意访问服务器以及应用所在网络的任何资源。

修复建议:升级poi-ooxml.jar到3.16或以上版本。

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问