web安全 XML实体注入风险

最新推荐文章于 2024-05-19 22:38:58 发布
最新推荐文章于 2024-05-19 22:38:58 发布
阅读量6.9k 收藏 2
点赞数
分类专栏: 系统安全性和保密性

描述

 

XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置,否则外部实体会迫使 XML 解析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XML External Entity (XXE) 攻击,从而用于拒绝本地系统的服务,获取对本地计算机上文件未经授权的访问权限,扫描远程计算机,并拒绝远程系统的服务。

 

下面的 XML 文档介绍了 XXE 攻击的示例。

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe;</foo>

 

如果 XML 解析器尝试使用 /dev/random 文件中的内容来替代实体,则此示例会使服务器(使用 UNIX 系统)崩溃。

 

 

解决方案

 

 

应对 XML 解析器进行安全配置,使它不允许将外部实体包含在传入的 XML 文档中。

 

为了避免XXE injections,应为XML代理、解析器或读取器设置下面的属性:

factory.setFeature("http://xml.org/sax/features/external-general-entities",false);

factory.setFeature("http://xml.org/sax/features/external-parameter-entities",false);

 

如果不需要 inline DOCTYPE 声明,可使用以下属性将其完全禁用:

factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);

 

要保护 TransformerFactory,应设置下列功能:

TransformerFactory transFact =TransformerFactory.newInstance();

transFact.setFeature(XMLConstants.ACCESS_EXTERNAL_DTD,false);

Transformer trans =transFact.newTransformer(xsltSource);

trans.transform(xmlSource, result);

 

或者,也可以使用安全配置的 XMLReader 来设置转换源:

XMLReader reader =XMLReaderFactory.createXMLReader();

reader.setFeature("http://xml.org/sax/features/external-general-entities",false);

reader.setFeature("http://xml.org/sax/features/external-parameter-entities",false);

Source xmlSource = new SAXSource(reader,new InputSource(new FileInputStream(xmlFile)));

Source xsltSource = new SAXSource(reader,new InputSource(new FileInputStream(xsltFile)));

Result result = newStreamResult(System.out);

TransformerFactory transFact =TransformerFactory.newInstance();

Transformer trans =transFact.newTransformer(xsltSource);

trans.transform(xmlSource, result);

 

最后欢迎大家访问我的个人网站:1024s

崔世勋
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用DOM方式解析XML(使用JAXP工具)--第一天
阿良的专栏
05-13 4628
要解析XML文件,首先要获得XML的DOM树,方法如下: //获取DOM解析器工 //DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance(); //获取DOM解析器 //DocumentBuilder documentBuilder = documentBuilderF
XXE原理简介、御方案
qq_37432174的博客
11-24 6492
某些应用程序允许XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。
34-XXE(XML外部实体注入
最新发布
XLbb的博客
05-19 886
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
Java高级特性-第6章:XML技术
qq_42263859的博客
07-12 854
Java高级特性-第6章:XML技术
javawebXML学习笔记(二)解析模型
mocas_wang的博客
04-26 288
xml的解析(jaxp) xml的解析方式:dom和sax两种技术 xml的解析器(针对dom和sax):jaxp,dom4j(使用最多),jdom jaxp是JavaSe的一部分,在jdk的javax.xml.parsers包里 dom方式解析xml dom解析xml的过程 dom所使用的类:  dom   DocumentBuilder->解析器类    此类为抽象类,实例可...
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 5965
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
XML
everythingXHD_的博客
06-10 1665
可拓展的标记语言 树状结构 语法: { &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;students&gt; &lt;students id="1235"&gt; &lt;name&gt
spring框架配置实体类复杂属性注入xml文件过程详解
08-25
Spring 框架配置实体类复杂属性注入 XML 文件过程详解 Spring 框架是 Java Web 项目中至关重要的一个框架,大多 Web 项目在工作层次上分为持久层、服务层、控制层。持久层(DAO、Mapper)用于连接数据库,完成项目...
WEB安全知识总结.zip
12-27
WEB安全知识总结】 在网络安全领域,Web安全是至关重要的一个环节,因为它涉及到用户数据的保护、企业资产的安全以及服务的稳定运行。本总结将深入探讨一些常见的Web漏洞及其范措施,帮助读者快速掌握Web安全的...
web安全漏洞挖掘梳理
06-22
其中,XXE 漏洞是一种常见的安全漏洞,攻击者可以通过构建外部实体注入来攻击 Web 应用程序。 1.什么是 XML XML(Extensible Markup Language)是一种标记语言,用于描述和定义数据的结构和内容。XML 文档通常由...
信息安全_xxe注入应用与拓展.pptx
08-14
XML实体允许开发者引用外部资源,如本地文件、网络资源等。如果应用程序未正确配置或过滤这些实体,攻击者可以通过构造恶意的XML输入来触发XXE注入。 **XXE的常见应用场景:** 1. **基于XML的RPC服务**:如Zend...
xml安全基础
02-27
通过使用XML Schema,可以限制输入数据的格式,从而减少安全风险。但过度依赖Schema验证并不能完全止攻击,因为攻击者可能找到绕过验证的方法。 六、止XXE攻击 止XXE攻击的关键在于限制XML解析器的行为。这...
javafx-Transformer的用法:todo
随笔
09-21 79
Transformer transformer = TransformerFactory.newInstance().newTransformer();
XXE - XML外部实体注入攻击
javaEE_zero的博客
01-04 598
XXE漏洞、XML外部实体注入攻击
web安全--Xml外部实体注入漏洞(XXE)与
fabao007的专栏
05-02 1360
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
java transformerfactory_java – 有可能避免使用xalan TransformerFactory吗?
weixin_32224617的博客
02-27 1384
我有以下代码:final TransformerFactory factory = TransformerFactory.newInstance();factory.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");第二行在现代JDK(我试过1.8)中使用默认的TransformerFactory工作正常.但是当我将xalan(版本2.7.2,最...
XML解析器安全配置
loongshawn的博客
08-03 2898
背景说明 应用工程使用XML解析器解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件中的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。 通过配置XML解析器,禁止加载外部实体。 SAXReader解析器 public static...
Fortify常见漏洞解决方案
天行健,君子以自强不息;地势坤,君子以厚德载物。
09-26 6251
阅读文本大概需要3分钟。Log Forging漏洞:1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值