一个用得比较广的微信API的XXE外部实体注入漏洞】的更多相关文章

一个用得比较广的微信API的XXE外部实体注入漏洞

文件地址: https://github.com/dodgepudding/wechat-php-sdk/raw/master/wechat.class.php 代码: <?php /** * 微信公众平台PHP-SDK, 官方API部分 * @author dodge <dodgepudding@gmail.com> * @link https://github.com/dodgepudding/wechat-php-sdk * @version 1.2 * usage: * $opt…

【JAVA XXE攻击】微信支付官方回应XML外部实体注入漏洞

官方回应连接:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 其中明确指出了代码修改的地方. 然后看到此文档后,我就改公司项目中代码,项目中支付时并没有涉及到XML解析, 而是在支付后,微信回调告知支付结果时,我这边接受时需要解析XML. /** * 解析xml,返回第一级元素键值对.如果第一级元素有子节点,则此节点的值是子节点的xml数据. * @param strxml * @return * @throws JDO…

微信支付的JAVA SDK存在漏洞,可导致商家服务器被入侵(绕过支付)XML外部实体注入防护

XML外部实体注入 例: InputStream is = Test01.class.getClassLoader().getResourceAsStream("evil.xml");//source XMLInputFactory xmlFactory = XMLInputFactory.newInstance(); XMLEventReader reader = xmlFactory.createXMLEventReader(is); //sink 如果evil.xml文件中包含如…

微信支付的SDK曝出重大漏洞(XXE漏洞)

一.背景 昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构.文件内容,如代码.各种私钥等.获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”. 漏洞报告地址:http://seclists.org/fulldisclosure/2018/Jul/3 二.漏洞原理 1.  XXE漏洞 此次曝出的漏洞属于XXE漏洞,即XML外部实体注入(XML External Entity Injection).…

【开源】这可能是封装微信 API 最全的 .NET SDK 了

## 缘起 今年公司某个项目需要全面接入微信支付 V3 版 API.起初觉得,2014 年微信支付就已上线了 V3 版 API,这都 2021 年了,就算官方不给力,怎么着社区也该有几个造好的 .NET 的轮子了吧?于是兴冲冲地到 NuGet 上开始搜索"微信支付"四个大字,结果-- 倒不是没有现成的轮子,但基本都是只包含一些简单 API(如下单.查单.退款等等),与需求不符:偶尔有一些看似封装全的,点进去一看却是基于 V2 版 API 的. 没办法,自己动手,丰衣足食! 接入了微信支…

使用delphi+intraweb进行微信开发5—准备实现微信API,先从获取AccessToken开始

在前4讲中我们已经使iw开发的应用成功和微信进行了对接,再接下来的章节中我们开始逐一尝试和实现微信的各个API,开始前先来点准备工作 首先需要明确的是,微信的API都是通过https调用实现的,分为post方法调用和get方法调用.不需要上传数据的采用get方法(例如获取AccessToken),而需要向微信服务器提交数据的采用post方法(例如创建菜单). 微信方法调用均需传递AccessToken(URL参数方式),这个AccessToken不是我们微信接入时使用的Token,这个Acces…

总结的一些微信API接口

本文给大家介绍的是个人总结的一些微信API接口,包括微信支付.微信红包.微信卡券.微信小店等,十分的全面,有需要的小伙伴可以参考下. 1. [代码]index.php <?php include_once 'lib.inc.php';    $wcObj = new WeChat("YOUKUIYUAN"); $wcObj->wcValid(); 2. [代码]微信入口类 <?php /**  * Description of wechat  *  * @author…

C# 数字证书微信API调用使用参考事例

X.509 v.3 证书的方法.一个比较完整的调用  微信  API的示例: private stringGetResponseResult()         { string strResponseResult="";//返回结果             try             {                 string url = "https://api.mch.weixin.qq.com/secapi/pay/refund";        …

01: 企业微信API开发前准备

目录:企业微信API其他篇 01: 企业微信API开发前准备 02:消息推送 03: 通讯录管理 04:应用管理 目录: 1.1 术语介绍 1.2 开发步骤 1.1 术语介绍返回顶部 参考文档:http://work.weixin.qq.com/api/doc#10013 企业微信管理后台: https://work.weixin.qq.com/wework_admin/frame 1.corpid:ww2f9a1a85f1806981 每个企业都拥有唯一的corpid,获取此信息可在管理后台“…

微信程序开发系列教程(三)使用微信API给微信用户发文本消息

这个系列的第二篇教程,介绍的实际是被动方式给微信用户发文本消息,即微信用户关注您的公众号时,微信平台将这个关注事件通过一个HTTP post发送到您的微信消息服务器上.您对这个post请求做了应答(格式为文本),则该应答会通过微信平台投递到您粉丝的微信应用上. 微信开发者中心的文档将这种行为称为"被动回复用户消息": 回复消息报文的格式在开发者文档里也有清晰的定义,是一个xml格式的字符串.我的第二篇教程里也有具体的发送该报文的代码示例. 本文作为这个开发系列的第三篇教程,介绍的是如何…