【网络安全】JAVA代码审计—— XXE外部实体注入

最新推荐文章于 2024-11-09 12:43:52 发布
最新推荐文章于 2024-11-09 12:43:52 发布
阅读量168 收藏
点赞数
文章标签: java web安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75857562/article/details/128930501
版权
本文详细介绍了XML的基础知识,包括XML语法、DTD、实体和外部实体的概念。接着,深入探讨了XXE(XML外部实体注入)漏洞,阐述了XXE的危害,如文件读取、端口探测、命令执行等,并提供了判断和防御XXE的方法。最后,针对JAVA代码审计,列举了可能引发XXE的接口,如XMLReader、SAXBuilder、SAXReader等,并给出了相应的修复代码和防御策略。
摘要由CSDN通过智能技术生成

一、WEB安全部分

想要了解XXE,在那之前需要了解XML的相关基础

二、XML基础

2.1 XML语法

  1. 所有的XML元素都必须有一个关闭标签
  2. XML标签对大小写敏感
  3. XML必须正确嵌套
  4. XML 文档必须有根元素
  5. XML属性值必须加引号

实体引用,在标签属性,以及对应的位置值可能会出现<>符号,但是这些符号在对应的XML中都是有特殊含义的,这时候我们必须使用对应html的实体对应的表示,比如<对应的实体就是&lt,>符号对应的实体就是&gt

在XML中,空格会被保留,如:<p>a空格B</p>,这时候a和B之间的空格就会被保留

2.2 XML结构

2.2.1 XML文档声明

<?xml version="1.0" encoding="utf-8"?>

2.2.2 元素

元素是 XML 以及 HTML 文档的主要构建模块,元素可包含文本、其他元素或者是空的。

 <body> body text in between </body>
<message> some message in between </message>

空元素有例如:hr、br、img

2.2.3 属性

属性可提供有关元素的额外信息

<img src="computer.gif"/>
其中,src为属性

2.2.4 实体

实体分为四种类型,分别为:

  • 字符实体
  • 命名实体
  • 外部实体
  • 参数实体

2.3 文档类型定义–DTD

DTD是用来规范XML文档格式,既可以用来说明哪些元素/属性是合法的以及元素间应当怎样嵌套/结合,也用来将一些特殊字符和可复用代码段自定义为实体

DTD可以嵌入XML文档当中(内部声明),也可以以单独的文件存放(外部引用)

2.3.1 DTD内部声明

假如 DTD 被包含在您的 XML 源文件中,它应当通过下面的语法包装在一个 DOCTYPE 声明中:

<!DOCTYPE 根元素 [元素声明]>

内部声明DTD示例

 <?xml version="1.0"?>
<!DOCTYPE note [ 
 <!ELEMENT note (to,from,heading,body)> 
   <!ELEMENT to      (#PCDATA)> 
   <!ELEMENT from    (#PCDATA)> 
   <!ELEMENT heading (#PCDATA)> 
   <!ELEMENT body    (#PCDATA)> 
]>
<note>
  <to> George </to>
  <from> John </from>
  <heading> Reminder </heading>
  <body> Don't forget the meeting! </body>
</note>

以上 DTD 解释如下:

  • !DOCTYPE note (第二行)定义此文档是 note 类型的文档。
  • !ELEMENT note (第三行)定义 note 元素有四个元素:“to、from、heading,、body”
  • !ELEMENT to (第四行)定义 to 元素为 “#PCDATA” 类型
  • !ELEMENT from (第五行)定义 from 元素为 “#PCDATA” 类型
  • !ELEMENT heading (第六行)定义 heading 元素为 “#PCDATA” 类型
  • !ELEMENT body (第七行)定义 body 元素为 “#PCDATA” 类型

2.3.2 DTD外部引用

假如 DTD 位于 XML 源文件的外部,那么它应通过下面的语法被封装在一个 DOCTYPE 定义中:

<!DOCTYPE 根元素 SYSTEM "文件名">

这个 XML 文档和上面的 XML 文档相同,但是拥有一个外部的 DTD:

<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "note.dtd">
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>

note.dtd:

<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>

2.3.3 PCDATA

PCDATA 的意思是被解析的字符数据(parsed character data)。

PCDATA 是会被解析器解析的文本。这些文本将被解析器检查实体以及标记,文本中的标签会被当作标记来处理,而实体会被展开,值得注意的是,PCDATA不应包含&、<和>字符,需要用& < >实体替换,又或者是使用CDATA

2.3.4 CDATA

CDATA 的意思是字符数据(character data)。

CDATA 是不会被解析器解析的文本。

在XML中&、<字符是属于违法的,这是因为解析器会将<解释为新元素的开始,将&解释为字符实体的开始,所以当我们有需要使用包含大量&、<字符的代码,则可以使用CDATA

CDATA由结束,在CDATA当中,不能包含]]>字符串,也不能嵌套CDATA,结尾的]]>字符串不能包含任何的空格和换行

2.3.5 DTD实体

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

实体又分为一般实体和参数实体

1,一般实体的声明语法:

引用实体的方式:&实体名;

2,参数实体只能在DTD中使用,参数实体的声明格式:

引用实体的方式:%实体名;

2.3.5.1 内部实体

<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">

<author>&writer;©right;</author>

2.3.5.2 外部实体

外部实体,用来引入外部资源。有SYSTEM和PUBLIC两个关键字,表示实体来自本地计算机还是公共计算机

<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">

<author>&writer;©right;</author>

不同程序支持的协议不同

LIBXML2 PHP JAVA .NET
file file http file
http http https http
ftp ftp ftp https
php file ftp
最低0.47元/天 解锁文章
网安护手
关注
Java代码审计——XML 外部实体注入XXE
m0_61506558的博客
11-27 1157
XXE 为 XML 外部实体注入。当应用程序在解析 XML 输入时,在没有禁止外部实体的加载而导致加载了外部文驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。当XMLReader 使用默认的解析方法并且未对。输入时,在没有禁止外部实体的加载而导致加载了外部文件及代码时,就会造成 XXE。文档的接口,其存在于公共区域中。XMLReader 接口是。XMLReader 接口是一种通过。漏洞,我们首先需要知道常见的能够解析。们一般用以下几种常见的。
Java代码审计——WebGoat XML外部实体注入(XXE)
m0_61506558的博客
11-16 817
在进行代码分析之前,要先懂漏洞产生的原理,不妨看看这篇文章,WebGoat上面描述的也不错,值得研读。
Springboot下的WebRequest获取Requestbody参数
zsx18273117003的博客
08-22 3289
背景:因为RequestBody是以流的形式读取,流读取一次以后就没有了,所以HttpServletRequest 的 getInputStream() 和 getReader() 都只能读取一次。如果想要通过WebRequst再次获取RequestBody中的参数,首先需将RequestBody保存,然后通过自定义HttpServletRequestWrapper类,重写当中getReader()和getInputStream()方法;然后再通过Filter中将ServletRequest替换为自定的Ht
从request 中获取body的数据
热门推荐
坤哥的博客
04-20 5万+
如果在controller里直接@RequestBody就可以获取,这种方式很简单,现在说下直接从request中获取。 说下场景,我是在shiro的filter中获取body中的数据: @Override public boolean onAccessDenied(ServletRequest servletRequest, ServletResponse response) t...
代码审计入门之java-sec-code
MSB_WLAQ的博客
10-13 2629
1.介绍 对于学习JAVA代码审计的同学来说,java-sec-code是一个不可多得的学习靶场,根据作者的介绍每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里,具体可查看每个漏洞代码和注释。 2.安装 项目地址https://github.com/JoyChou93/java-sec-code/ java-sec-code是由java开发,使用的框架为springboot,下载到本地后直接使用IDEA导入项目。 选择maven工程选项。 导入项目..
dom4j解析xml文件时忽略DOCTYPE标签
qq_42106106的博客
05-09 2392
利用dom4j读取xml配置文件时,如果文件中出现DOCTYPE标签,可能会在read时读取异常: Document document = reader.read(file); 导致文件读取失败,如下: Exception in thread "main" org.dom4j.DocumentException: Error on line 1 of document http://t...
WebUtils-网络请求工具类
weixin_30576827的博客
06-03 560
网络请求工具类,大幅代码借鉴aplipay. using System; using System.Collections.Generic; using System.IO; using System.Net; using System.Text; using System.Web; namespace ICE.Common { /// <summar...
未知攻焉知防——XXE漏洞攻防.pdf
09-18
XXE漏洞全称为XML External Entity Injection,即XML外部实体注入漏洞,是...总体而言,本文以XXE漏洞为核心,结合相关网络安全技术,深入阐述了XML外部实体注入漏洞的攻防策略,为读者提供了全面的知识点和实战指导。
【burpsuite安全练兵场-服务端10】XML外部实体注入XXE注入)-9个实验(全)
wangluoanquan111的博客
01-26 1143
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
介绍Spring WebUtils 和 ServletRequestUtils
neweastsun的专栏
07-01 4380
介绍Spring WebUtils 和 ServletRequestUtils 文本我们介绍spring mvc内置的web request工具WebUtils 和 ServletRequestUtils。 场景 在大多数应用中,我们经常遇到从输入http request中取一些参数场景,通常实现代码如下: HttpSession session = request.getSess...
一篇文章读懂Java代码审计XXE
Summer's blog
05-13 1万+
前言   学习总结Java审计过程中笔记,审计方法。 阅读要求:有简单Java代码基础,了解漏洞原理。 漏洞简介    简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 有回显    不说废话,先看效果,成功读取文本内容。    代码分析漏洞成因: public String xxeDo...
JAVA Web项目中常用工具类集合
洛阳泰山的博客
11-14 1878
import org.apache.commons.codec.Charsets; import org.apache.commons.lang3.StringUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.lang.Nullable; import org.springframework.util.Assert; import org.springframework.we.
JAVA-01-变量
LJH_laura_li的博客
11-08 320
在方法、构造函数或块内部定义的变量。
基于 SpringBoot 实现QQ邮箱验证码注册功能
2301_79201049的博客
11-06 634
找到并开通以下的邮件协议服务,而且服务开启也较为简单,需要我们发送一个短信到指定的号码,开启后平台会提供一个授权码,一定要记住这个授权码,发邮件的时候需要这个。host 是根据服务主机区分,网易邮箱是 smtp.163.com, qq邮箱是 smtp.qq.com。其中的 username 是你第一步中操作的邮箱账号,nickname 是接收者收到邮件中显示的发件人。发送邮件的核心依赖是 mail ,由于该项目还涉及其他依赖就全都导进来了。(1)首先打开QQ邮箱,点击设置并来到账号页面。
Java基于小程序公考学习平台的设计与实现(附源码,文档)
最新发布
chusheng1840的博客
11-09 820
Java基于小程序公考学习平台的设计与实现,小程序公考学习平台使用Java语言进行编码,使用Mysql创建数据表保存本系统产生的数据。系统可以提供信息显示和相应服务,其管理小程序公考学习平台信息,查看小程序公考学习平台信息,管理小程序公考学习平台。总之,小程序公考学习平台集中管理信息,有着保密性强,效率高,存储空间大,成本低等诸多优点。它可以降低信息管理成本,实现信息管理计算机化。关键词:小程序公考学习平台;Java语言;Mysql。
java_方法重写/覆盖(override)
HHppGo的博客
11-07 324
方法覆盖(重写)就是子类有一个方法,和父类的某个方法的名称、返回类型、参数一样,那么我们就说子类的这个方法覆盖了父类的方法。
在 C# 中,如何实现观察者模式?
Leo的博客
11-06 428
观察者模式是一种设计模式,它定义了一种一对多的依赖关系,让多个观察者对象同时监听某一个主题对象。当该主题对象的状态发生变化时,会通知所有观察者对象,使它们能够自动更新自己。这个模式常用于事件处理系统、通知系统等场景。
并发编程的基础:深入理解内存屏障(Memory Barriers)
2401_86353562的博客
11-06 993
内存屏障是一种基础语言,在不同的计算机架构下有不同的实现细节。本文主要在x86_64处理器下,通过Linux及其内核代码来分析和使用内存屏障对大多数应用层开发者来说,“内存屏障”(memory Barrier)是一种陌生,甚至有些诡异的技术。实际上,他机制常被用在操作系统内核中,用于实现同步、驱动程序利用它,能够实现高效的无锁数据结构,提高多线程程序的性能表现。本文首先探讨了内存屏障的必要性,之后介绍如何利用内存屏障实现一个无锁唤醒振荡器(队列),用于在多个线程间进行高效的数据交换。
XML外部实体注入XXE)漏洞详解
XXE(XML External Entity Injection)漏洞是网络安全领域的一个重要话题,它出现在应用程序处理XML输入时未能正确限制外部实体的加载。XML是一种类似于HTML的语言,允许用户自定义标签来结构化数据。而XML External...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值