针对 7 月 3 日《微信支付接口安全提醒通知》中提到的「有较大安全隐患的XML 外部实体注入漏洞」,敬请 Ping++ 客户周知:
此次安全通知主要针对在对接微信系统,接受微信支付XML格式的商户回调通知(支付成功通知、退款成功通知、委托代扣签约/解约/扣款通知、车主解约通知)时,如未正确地进行安全设置或编码,将会引入有较大安全隐患的XML 外部实体注入漏洞的风险。如果你使用了 Ping++ 对接微信支付,将不会受到此漏洞的影响,原因如下:
1)Ping++ 系统在处理微信异步通知的时候,是直接对接的微信的接口,没有使用其 Java SDK 处理 XML 格式的商户回调通知;
2)Ping++ 客户接收的回调通知是由 Ping++ 系统送达的,因此不需要使用微信的 Java SDK 来解析回调通知。
请大家放心,Ping++ 会一如既往的专注在支付技术服务领域,为大家提供安全、可靠、高性能的支付处理服务。
另外,为了让更多企业免受于漏洞影响,微信支付也已在第一时间给出了针对此漏洞的处理方案。如果你身边有朋友遇上此漏洞,可以参考以下方式来规避风险:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5
上一篇 请求 Ping++ 付款类接口报错:请求来源存在风险,请联系Ping++