7月3日，微信支付爆出存在嚴重安全漏洞，可能導緻商(shāng)戶服務器被入侵。

問題重現

 public static void test() {
        String xmlStr = "<?xml version=\"1.0\" encoding=\"utf-8\"?><!DOCTYPE xdsec[<!ELEMENT methodname ANY><!ENTITY xxe SYSTEM \"file:///c:/windows/win.ini\">]><methodcall><methodname>&xxe;</methodname></methodcall>";
        try {
            System.out.println(xmlStr);
            System.out.println("+++++++++++++++++");
            Map<String, String> hm = WxPayTool.xmlToMap(xmlStr);
            System.out.println("+++++++++++++++++");
            System.out.println(hm);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

xmlToMap方法對應sdk中(zhōng)xmlToMap方法。
運行測試代碼，可以發現本地文件被輸出。

上面隻是問題的簡單定位，雖然攻擊者不太可能知(zhī)道微信通知(zhī)的url,而且實際項目中(zhōng)一(yī)般不會将内容直接輸出，但是攻擊者仍然可以執行其他命名或者通過其他方式獲取到服務器上文件或目錄，因此應當盡快修複該問題。

修複方案

DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
            documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);  //防止可能的SSRF
            documentBuilderFactory.setXIncludeAware(false);
            documentBuilderFactory.setExpandEntityReferences(false);
            documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
            documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
            DocumentBuilder documentBuilder = documentBuilderFactory.newDocumentBuilder();
            InputStream stream = new ByteArrayInputStream(xmlString.getBytes("UTF-8"));