怎么测试微信XXE漏洞

近日，微信发来警告告知，就在微信java版本的sdk中，发现存在xxe漏洞。有了这个漏洞，攻击者不仅可以实现零支付购物，而且还能倒卖客户信息，严重影响了经济秩序和客户人身安全。

工具/原料

手机

微信软件

购物

一、什么是XXE漏洞

1、值得庆祝的是，腾讯方面声称已经将xxe漏洞修复，但是既然谈到了xxe漏洞，我们不妨来一探究竟

3、那么问题又来了，什么是XML呢？XML是用于标记电子文件使其具有结构性的标记语言，可以理解为用来定义数据的东西。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素

2、怎样构建外部实体注入？方法一：直接通过DTD外部实体声明XML内容

4、方法三：通过DTD外部实体声明引入外部实体声明好像有点拗口，其实意思就是先写一个外部实体声明，然后引用的是在攻击者服务器上面的外部实体声明具体看例子,XML内容

2、二、过滤用户提交的XML数据关键词：<!DOCTYPE和<!ENTITY，或者，SYSTEM和PUBLIC。