十万火急：Wex5开发的APP，微信支付方面，有无【XXE漏洞】？

爱我的老鼠

管理员和各位老大，问个灰常重要的问题： wex5开发的APP，微信支付方面，有无【XXE漏洞】？

微信支付，完全是按照官方提供的jar和demo做的。只是在后台收到收款到账异步通知时，增加了主动向微信发送的”查账请求“，验证该笔收入是否微信已经真实到账。

尽管这样处理了，但在本年9月份，客户在微信公众号平台上，依然都收到来自微信的告知。


========不是我不想自己解决，实在是技术很low(半拉子JAVAer).
希望官方也能验证一下---所提供的 微信支付demo及相关jar，是否存在这个【XXE漏洞】，没有当然更好。如果有，请给个解决方法。

爱我的老鼠

...

jishuang

这个是什么url？

ballboy_01

我这边刚处理完毕。。你下载他们的SDK
https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1
然后他们对XXE做了封装处理。
然后替换掉旧的SDK。我这里只验证付款是否成功。所以比较简单的处理了。

打勾的文件替换一下SDK。第一个java文件是x5提供的。这里要

    private static void doNotify(HttpServletRequest req, HttpServletResponse resp) throws IOException {
        
        System.out.println("微信支付回调="+"001");
     
         InputStream inputStream;
            StringBuffer sb = new StringBuffer();
            inputStream = req.getInputStream();
            String s;
            BufferedReader in = new BufferedReader(new InputStreamReader(inputStream, "UTF-8"));
            while ((s = in.readLine()) != null) {
                sb.append(s);
            }
            in.close();
            inputStream.close();
            
            // 支付结果通知的xml格式数据
            String notifyData = sb.toString();

            // 转换成map
            Map<String, String> notifyMap;
            String   resXml = "<xml>" + "<return_code><![CDATA[FAIL]]></return_code>" + "<return_msg></return_msg>" + "</xml> ";
            try {
                notifyMap = WXPayUtil.xmlToMap(notifyData);
        
            //验证签名
                log.info("订单号"+notifyMap.get("out_trade_no"));

/////////部分代码啊。代码下面就是数据库操作了。你根据  if("SUCCESS".equals(notifyMap.get("result_code"))) {    //交易成功
做相对应的订单操作就好了。
做完之后，把baas更新到服务器。
后台还会出现提示要补漏洞。你要是不放心，可以给他们发邮件。WePayTS@tencent.com
他们会告诉你是不是还有漏洞的。

ilovethislinux

没下文了？这么严重的BUG，影响WEX5的推广，请重视吧!!!

爱我的老鼠

ballboy_01 谢谢啊！！！感激不尽！！！

爱我的老鼠

wex5，我很失望！！！唯一可以说的最大亮点，就是前端可以拖拽开发。但是你的生态圈太差了，如果你们的基础组件能更好1些，相信用的人才更多。。。很多问题解决起来，太费力了！！！

jishuang

已经将问题提交给相关人员去确认

ballboy_01

说良心话，这还真不是WEX5的责任，毕竟XXE注入可以实现0元购物，只涉及腾讯的安全。。