EasyWechat 3.0修复微信支付XXE漏洞

最新推荐文章于 2023-03-16 19:35:01 发布
最新推荐文章于 2023-03-16 19:35:01 发布
阅读量1.1k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Laravel 微信支付 EasyWechat 文章标签: 微信支付漏洞 EasyWechat微信支付漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/amazingdyd/article/details/86593114
微信支付曝出XXE重大漏洞,若不及时修复可能影响支付功能。针对使用EASYWECHAT的用户,本文提供详细修复步骤:定位到特定文件并修改parse方法,加入libxml_disable_entity_loader(true)即可完成修复。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

微信支付近期有XXE重大漏洞,如果不修复,可能会让您的支付功能停用。

使用了官方SDK还好说,那么,使用旧版本的EASYWECHAT用户该怎么修复呢?

1.首先,我们需要找到文件XXX\vendor\overtrue\wechat\src\Support\XML.php

2.我们更改文件中的parse方法(大概在38行)为

    public static function parse($xml)
    {
        $backup = libxml_disable_entity_loader(true);

        $result = self::normalize(simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_COMPACT | LIBXML_NOCDATA | LIBXML_NOBLANKS));

        libxml_disable_entity_loader($backup);

        return $result;
    }

加入了libxml_disable_entity_loader(true);漏洞即可修复完毕

微信支付XXE漏洞修复
zhangxing
07-05 6946
1.场景还原 近日,微信发来警告通知,告知平台微信支付可能存在XXE(外部实体注入漏洞),笔者根据微信官方技术文档及时修复了该漏洞,分享出来希望能够对大伙有所帮助2.原因分析 所谓的外部实体注入漏洞,主要是在xml转map的时候处理不得当造成的,所以接下来的修复工作主要在xml解析类中下功夫3.实现方案①原有的解析类@SuppressWarnings({ "unused", "rawtype...
XXE漏洞以及XXE漏洞如何修复
热门推荐
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXEXML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XMLXXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
微信开放平台开发 Tp5 + easyweichat3.X
weixin_40341171的博客
07-30 681
微信开放平台开发 Tp5 + easyweichat3.X需求总流程授权流程1.公众号管理员登录我们的授权网站2. 进入微信官方授权网站3. 公众号管理员微信扫描二维码。4.点击授权开发1.平台class2.登录授权的发起页3.开放平台信息接收4.回调页面功能开发 需求 单位想完善微信公众号场景二维码的功能,又不想原微信公众平台设置的自动回复失效,只能曲线救国,利用微信第三方平台,实现微信公众号,...
think-swoole tp6 easywechat 支付回调出现 Invalid request XML.
何欢的博客
08-24 2979
vendor/overtrue/wechat/src/Payment/Notify/Handler.php 把$this->app['request']->getContent(); 改成think\facade\Request::getContent(); 最后重启swoole就可以了。
ThinkPHP6+easywechat微信支付扫码支付遇到的回调问题
JiangName的博客
03-01 5787
代码环境:thinkPHP6 +php7.2 + windows server 框架运行方式:worker (命令行里运行 php think worker) 遇到的问题: 1.支付成功后,微信没有请求(没有进到)配置的回调接口; 2.请求接口后,接口里未获取到相应的xml参数。 问题1详细描述:在统一生成订单接口中配置的回调地址(notify_url),外网可直接访问且能访问成功,服...
swoole环境下easy-wechat微信支付xml解析失败问题
小白成神路
03-16 970
swoole、hhvm等非php-fpm模式下,解析方法会有问题,需自行处理。可对支付请求路径重写给fpm处理。
easywechat php例子,easywechat--在thinkPHP5中的使用
weixin_36176386的博客
03-24 746
1. 安装1.1 v-4.0 版本要求 PHP版本在7.0以上1.2 在项目目录下运行以下命令windows 环境下安装报 openssl extension is missing, 则修改php.ini文件,开启extension=php_openssl.dllcomposer安装完成后可以在命令行中执行:composer config -g repo.packagist composer ht...
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞
java sdk 微信支付_Java 微信支付官方SDK源码(已修复XXE漏洞)
weixin_42393526的博客
02-26 535
【实例简介】WxPayAPI_JAVA,版本:java_sdk_v3.0.9 ,最后更新于:2018-07-04【实例截图】【核心代码】package com.github.wxpay.sdk;import com.github.wxpay.sdk.WXPayConstants.SignType;import java.util.HashMap;import java.util.Map;publi...
网络安全HTTP协议XXE漏洞攻防详解:支付接口安全案例与防御方案设计
最新发布
07-14
接着通过构建一个易受攻击的Flask支付接口,演示了如何利用XXE漏洞读取系统敏感文件、攻击内网系统以及执行盲XXE数据外带。最后,提出了防御XXE攻击的具体措施,包括XML解析器的安全配置、输入内容过滤机制、Web应用...
hyperf中使用w7corp/easywechat
pengxu0807的专栏
11-03 3421
Symfony Http Client在常驻内存的服务中使用时,HttpClient会因为多个协程共用而报错,而pengxuxu/hyperf-easywechat6包使用hyperf的ClassMap替换了InteractWithHttpClient中的HttpClient对象实例,使得不同协程为不同的请求实例,同一协程上下文中获取到的为同一请求实例。
PHP使用EasyWeChat支付和退款
handsome17的博客
08-01 1764
/** * @throws \EasyWeChat\Kernel\Exceptions\Exception * 微信退款回调地址 */ public function wecharRefundBack() { $config = [ //商户微信支付配置 'app_id' => 'wxeec97aab45291ef7', 'mch_id' => '161118.
Laravel5.5+EasyWeChat_小程序支付(含回调)
追风2019
10-24 7876
 一、支付准备 1. 登录微信公众平台,到小程序后台获取小程序应用信息:APP_ID(应用ID)、APP_SECRET(应用秘钥) 2. 登录微信商户平台,获取商户信息:MCH_ID(商户ID)、MCH_KEY(商户公钥) 3. 在商户平台配置中设置回调网址授权。 二、小程序调用支付代码 use Config; use EasyWeChat\Factory; public funct...
报错 call not undefined function Think\simplexml_load_string() php7.0
weixin_34146986的博客
05-10 565
查看phoinfo的时候发现没有这个东西。于是:yum install php-xml 安装后重启httpd,发现居然可以了。 不是做技术的永远无法体会这种感觉的。 转载于:https://www.cnblogs.com/dcj890828/articles/5477079.html...
WEB漏洞-XXE&XML之利用检测绕过
m0_65137829的博客
07-24 1638
XXE-"xml external entity injection" 服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
YII2框架使用easyWeChat进行微信 App支付
ps1006的博客
10-29 1756
具体的引入安装不多说了,可以去官方文档上看 easyWeChat微信支付要比调用微信原生的支付方便很多,剩了很多关于随机字符串,生成签名,二次验证签名等步骤 首先在控制器开始引入方式 use EasyWeChat\Factory; 下单调用 // 配置信息 $config = [ // 这些信息去微信支付上申请 'app_id' => $appId, 'mch_id' => $mchId, 'key' => $key,
php5.6 报错:Call to undefined function Think\Template\simplexml_load_string() 解决方法
11-22 1906
Call to undefined function Think\Template\simplexml_load_string() ,原因是 没有安装 php-xml... 在php中, 关于xml有2个php包: php5.6-xml; php5.6-xmlrpc $ sudo a...
EasyWeChat微信开发平台第三方接入(Laravel5+,EasyWeChat3.0/EasyWeChat4.0
qq_39859060的博客
10-29 7502
一、准备微信开发平台账号(需要认证¥300) 二、看代码(注意:其中有自己建的数据表) 1、EasyWeChat 3.0 微信开发平台第三方平台接入 <?php namespace App\Http\Controllers; use Illuminate\Http\Request; use EasyWeChat\Foundation\Application; use Illumin...
微信支付 Java SDK XXE 漏洞原因
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全的XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值