微信支付官方緊急推送關于修複XXE漏洞提示，附

昨天有一(yī)條關于微信支付0元購的消息在開(kāi)發圈裏炸開(kāi)了鍋，所謂0元購并不是用戶抽獎，而是惡意攻擊者利用漏洞實現0元支付。

正常的支付基本流程是這樣的：用戶發起支付->調起微信支付->支付成功->微信支付服務器發送成功通知(zhī)給應用（比如某個商城）服務端->應用服務端解析微信支付發送的通知(zhī)->解析後的信息進行必要對比确認後更新訂單爲已付款狀态。

然而該漏洞，就是惡意利用解析過程，可以造成讀任何文件、内網探測、命令執行等問題。

上一(yī)篇：一(yī)個神奇的“bug”挽回了整台服務器的數據

下(xià)一(yī)篇：Discuz用戶分(fēn)表後怎麽通過uid獲取用戶信息的方法