起步软件技术论坛
搜索
 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2308|回复: 8

[处理中3] 十万火急:Wex5开发的APP,微信支付方面,有无【XXE漏洞】?

[复制链接]

28

主题

117

帖子

677

积分

高级会员

Rank: 4

积分
677
QQ
发表于 2018-11-23 11:46:08 | 显示全部楼层 |阅读模式
本帖最后由 爱我的老鼠 于 2018-11-23 11:52 编辑

管理员和各位老大,问个灰常重要的问题: wex5开发的APP,微信支付方面,有无【XXE漏洞】?

微信支付,完全是按照官方提供的jar和demo做的。只是在后台收到收款到账异步通知时,增加了主动向微信发送的”查账请求“,验证该笔收入是否微信已经真实到账。

尽管这样处理了,但在本年9月份,客户在微信公众号平台上,依然都收到来自微信的告知。



========不是我不想自己解决,实在是技术很low(半拉子JAVAer).
希望官方也能验证一下---所提供的 微信支付demo及相关jar,是否存在这个【XXE漏洞】,没有当然更好。如果有,请给个解决方法。

2018.9月份提醒,客户这几天很着急,害怕满满的!!!

2018.9月份提醒,客户这几天很着急,害怕满满的!!!

28

主题

117

帖子

677

积分

高级会员

Rank: 4

积分
677
QQ
 楼主| 发表于 2018-11-23 11:49:23 | 显示全部楼层
本帖最后由 爱我的老鼠 于 2018-11-23 11:55 编辑

...
回复

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
35880
发表于 2018-11-23 17:36:35 | 显示全部楼层
这个是什么url?
url.png
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

14

主题

66

帖子

251

积分

中级会员

Rank: 3Rank: 3

积分
251
QQ
发表于 2018-11-25 02:46:00 | 显示全部楼层
我这边刚处理完毕。。你下载他们的SDK
https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1
然后他们对XXE做了封装处理。
然后替换掉旧的SDK。我这里只验证付款是否成功。所以比较简单的处理了。
1.jpg
打勾的文件替换一下SDK。第一个java文件是x5提供的。这里要

    private static void doNotify(HttpServletRequest req, HttpServletResponse resp) throws IOException {
        
        System.out.println("微信支付回调="+"001");
     
         InputStream inputStream;
            StringBuffer sb = new StringBuffer();
            inputStream = req.getInputStream();
            String s;
            BufferedReader in = new BufferedReader(new InputStreamReader(inputStream, "UTF-8"));
            while ((s = in.readLine()) != null) {
                sb.append(s);
            }
            in.close();
            inputStream.close();
            
            // 支付结果通知的xml格式数据
            String notifyData = sb.toString();

            // 转换成map
            Map<String, String> notifyMap;
            String   resXml = "<xml>" + "<return_code><![CDATA[FAIL]]></return_code>" + "<return_msg></return_msg>" + "</xml> ";
            try {
                notifyMap = WXPayUtil.xmlToMap(notifyData);
        
            //验证签名
                log.info("订单号"+notifyMap.get("out_trade_no"));

/////////部分代码啊。代码下面就是数据库操作了。你根据  if("SUCCESS".equals(notifyMap.get("result_code"))) {    //交易成功
做相对应的订单操作就好了。
做完之后,把baas更新到服务器。
后台还会出现提示要补漏洞。你要是不放心,可以给他们发邮件。WePayTS@tencent.com
他们会告诉你是不是还有漏洞的。

回复 支持 反对

使用道具 举报

25

主题

192

帖子

715

积分

高级会员

Rank: 4

积分
715
QQ
发表于 2018-11-26 09:29:05 | 显示全部楼层
没下文了?这么严重的BUG,影响WEX5的推广,请重视吧!!!
回复 支持 反对

使用道具 举报

28

主题

117

帖子

677

积分

高级会员

Rank: 4

积分
677
QQ
 楼主| 发表于 2018-11-27 10:49:14 | 显示全部楼层
ballboy_01 谢谢啊!!!感激不尽!!!
回复 支持 反对

使用道具 举报

28

主题

117

帖子

677

积分

高级会员

Rank: 4

积分
677
QQ
 楼主| 发表于 2018-11-27 10:52:12 | 显示全部楼层
wex5,我很失望!!!唯一可以说的最大亮点,就是前端可以拖拽开发。但是你的生态圈太差了,如果你们的基础组件能更好1些,相信用的人才更多。。。很多问题解决起来,太费力了!!!
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
35880
发表于 2018-11-27 15:13:17 | 显示全部楼层
已经将问题提交给相关人员去确认
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

14

主题

66

帖子

251

积分

中级会员

Rank: 3Rank: 3

积分
251
QQ
发表于 2018-11-27 16:06:02 | 显示全部楼层
说良心话,这还真不是WEX5的责任,毕竟XXE注入可以实现0元购物,只涉及腾讯的安全。。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|X3技术论坛|Justep Inc.    

GMT+8, 2024-3-29 22:05 , Processed in 0.104294 second(s), 26 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表