最近比較火的是微信支付接口存在XML外部實體注入漏洞(XML External Entity Injection，簡稱 XXE)。該安全問題是由XML組件默認沒有禁用外部實體引用導致，黑客可以偽造一個請求讓支付商戶誤以為訂單支付了，其實訂單并沒有支付，這樣黑客就可以0元買任何商品。

這個漏洞是在微信支付接口通知是否支付的環節出現漏洞。主要發生在以下場景。

場景1：支付成功通知；
場景2：退款成功通知；
場景3：委托代扣簽約、解約、扣款通知；
場景4：車主解約通知；

這個漏洞影響性還是蠻大的，可以直接導致商家金錢損失，尤其是有微信支付功能模塊的自動發貨的系統及銷售虛擬商品的商城。

黑客能利用這個漏洞的條件有兩個：

一、知道怎么使用XML外部實體注入漏洞；(因為漏洞已經被公開，大家都知道，可恨的是很多人把攻擊的方式都公開了！！！！)
二、知道微信支付通知的地址；（這個開源建站系統因為源代碼是公開的，所以基本不用猜都知道，而定制建站系統則比較難猜，所以定制建站系統還有一層防護）

所以對于開源建站系統，源代碼大家都知道，微信支付通知的地址自然是清楚了，這也暴露了很多開源建站系統的軟肋，方維網絡建議：做網站還是建議采用定制建站，就算出現漏洞，因為代碼不開源，所以自然而然多一重安全保障。

這個漏洞如何修補呢？

如果是PHP網站，非常簡單，一句話解決libxml_disable_entity_loader(true);

如下代碼示例：

//將XML轉為array
function xmlToArray($xml) {
    //禁止引用外部xml實體 libxml_disable_entity_loader(true);
    $values = json_decode(json_encode(simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_NOCDATA)), true);
    return $values;
}

如果是ASP.NET網站

【.Net】 
XmlDocument doc= new XmlDocument();
doc.XmlResolver = null;

微信官方也給每個商戶推送了這個接口安全漏洞，也給出了各個程序語言的修復方法，APP SDK 不受影響，主要還是網站。

如果你是商家，這個漏洞還沒有修復，建議財務對每一筆訂單進行二次審核，通過登錄微信支付管理后臺查看訂單數據，再次審核訂單支付是否真實來決定是否發貨。

如果你是方維網絡的客戶，那么你不用擔心，我們技術會免費為你修補這個漏洞。

方維網絡專注于網站建設、微信小程序、APP開發，目前在深圳和廣州均有分公司，歡迎廣大客戶咨詢400-800-9385！