XStream升级1.4.18问题

已于 2022-10-28 10:44:15 修改
阅读量8.3k 收藏 10
点赞数 1
分类专栏: 工作经验总结 文章标签: java
于 2021-09-02 18:42:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LiJiVV/article/details/120067558
版权

XStream于2021.08.22升级了1.4.18版本,本次改动很大,看看官网说了啥

大概的意思是说,9年前,XStream整了一个安全框架,用来反序列化时为允许的类型实现黑名单或白名单,在版本1.4.17之前,XStream保留了一个默认黑名单,以拒绝所有类型的Java运行时(用于各种安全攻击),从而保证现有用户的最佳运行时兼容性。然而,这种方法失败了(它每个版本补漏洞就是把已知的攻击加到黑名单中)。经过几个月的研究,仅Java运行时就包含了数十种可用于攻击的类型,甚至不需要查看类路径上的第三方库(他们补不过来了)。因此,XStream的新版本现在默认使用一个白名单(重点),这是自9年以来一直推荐的。所以只要你遵循在初始化时,把场景(就是你反序列化用到的类)在初始化时加入到白名单中,就不会出现任何问题,否则新版本在反序列化时肯定会失败。

XStream团队原来是靠打补丁解决问题,现在改成加白名单,所以当你的代码出现com.thoughtworks.xstream.security.ForbiddenClassException错误的时候,那你先看看你得xstream是不是升到了1.4.18版本,先降级到1.4.17 或者 去改你的反序列化方法

public Object toBean(Class<?> clazz, String xml){
	Object xmlObject;
	XStream xStream = new XStream();
	//重点在这,1.4.18 增加了白名单机制,你的内容里涉及了多少个类,你就往里加吧
	Class<?>[] classes = new Class[] { Calss1.class, Calss2.class, ... };
	xStream.allowTypes(classes);


	//应用传过来类的注解
	xStream.processAnnotations(clazz);
	//自动检测注解
	xStream.autodetectAnnotations(true);
	//手动设置ClassLoader
	xStream.setClassLoader(clazz.getClassLoader());
	xmlObject=xStream.fromXML(xml);
	return xmlObject;
}

如果,嫌  xStream.allowTypes(classes);   太费事,可以使用allowTypesByWildcard()方法,按照包路径进行过滤,如下:

private static final String[] ALLOW_TYPES = new String[]{"org.test.**"};

xStream.allowTypesByWildcard(ALLOW_TYPES);

denyTypes()  可以限制指定类,1.4.18以前全靠这个修复安全漏洞

private static final Set<String> DefaultDenyTypes = new HashSet<String>() {
        {
            this.add("org.apache.commons.collections4.functors.InstantiateTransformer");
            this.add("org.apache.commons.collections4.functors.ConstantTransformer");
            this.add("org.apache.commons.collections4.functors.ChainedTransformer");
            this.add("org.apache.commons.collections4.functors.InvokerTransformer");
            this.add("org.apache.commons.collections4.comparators.TransformingComparator");
            this.add("org.apache.commons.configuration.ConfigurationMap");
            this.add("org.apache.commons.logging.impl.NoOpLog");
            this.add("org.apache.commons.configuration.Configuration");
            this.add("org.apache.commons.configuration.JNDIConfiguration");
            this.add("java.util.ServiceLoader$LazyIterator");
            this.add("com.sun.jndi.rmi.registry.BindingEnumeration");
            this.add("org.apache.commons.beanutils.BeanComparator");
            this.add("jdk.nashorn.internal.objects.NativeString");
            this.add("com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data");
            this.add("sun.misc.Service$LazyIterator");
            this.add("com.sun.jndi.rmi.registry.ReferenceWrapper");
            this.add("com.sun.jndi.toolkit.dir.LazySearchEnumerationImpl");
            this.add("org.springframework.aop.aspectj.autoproxy.AspectJAwareAdvisorAutoProxyCreator$PartiallyComparableAdvisorHolder");
            this.add("org.springframework.beans.factory.BeanFactory");
            this.add("org.springframework.jndi.support.SimpleJndiBeanFactory");
            this.add("org.springframework.beans.factory.support.RootBeanDefinition");
            this.add("org.springframework.beans.factory.support.DefaultListableBeanFactory");
            this.add("org.springframework.aop.support.DefaultBeanFactoryPointcutAdvisor");
            this.add("org.springframework.aop.aspectj.annotation.BeanFactoryAspectInstanceFactory");
            this.add("org.springframework.aop.aspectj.AspectJPointcutAdvisor");
            this.add("org.springframework.aop.aspectj.AspectJAroundAdvice");
            this.add("org.springframework.aop.aspectj.AspectInstanceFactory");
            this.add("org.springframework.aop.aspectj.AbstractAspectJAdvice");
            this.add("javax.script.ScriptEngineFactory");
            this.add("com.sun.rowset.JdbcRowSetImpl");
            this.add("com.rometools.rome.feed.impl.ToStringBean");
            this.add("com.rometools.rome.feed.impl.EqualsBean");
            this.add("java.beans.EventHandler");
            this.add("javax.imageio.ImageIO$ContainsFilter");
            this.add("java.util.Collections$EmptyIterator");
            this.add("javax.imageio.spi.FilterIterator");
            this.add("java.lang.ProcessBuilder");
            this.add("java.lang.Runtime");
            this.add("org.codehaus.groovy.runtime.MethodClosure");
            this.add("groovy.util.Expando");
            this.add("com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource");
            this.add("org.apache.commons.collections.map.LazyMap");
            this.add("org.apache.commons.collections.functors.ChainedTransformer");
            this.add("org.apache.commons.collections.functors.InvokerTransformer");
            this.add("org.apache.commons.collections.functors.ConstantTransformer");
            this.add("org.apache.commons.collections.keyvalue.TiedMapEntry");
        }
    };


String[] dentTypes = new String[DefaultDenyTypes.size()];
DefaultDenyTypes.toArray(dentTypes);
xStream.denyTypes(dentTypes);

蝎子莱布莱
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XStream1.4.20 栈缓冲区溢出漏洞
OSCS开源安全社区
12-29 2185
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。XStream 是一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。在使用集合和映射的哈希码来实现强制递归哈希计算时,远程攻击者可以通过栈缓冲区溢出的错误来终止应用程序造成拒绝服务攻击。在1.4.20之前的版本中存在栈缓冲区溢出漏洞,从而导致通过操纵已处理的输入流来造成拒绝服务。该漏洞已存在 POC。
xstream1.4.18升级版本问题
qq_29423323的博客
12-12 820
xstream 升级版本问题
XStream 从1.3.X升级1.4.X版本遇到问题
傲慢的上校的专栏
04-15 1216
原来为第三方提供jar包使用XStream1.3.X版本,后来升级1.4.X版本,第三方系统使用时遇到com.thoughtworks.xstream.security.ForbiddenClassException 问题。在xml转成bean类时,发现xml中user_name 中有值,但是转换的bean类中 user_name 为空,$也是关键字,默认为_-,这2个参数一个改变$的显示,一个改变_的显示。修改后,user_name 可以转换正常。因为_是关键字,默认的会变为__
XStream问题合集(升级版本,字段缺失)
最新发布
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
06-07 497
了解具体用法的可以借鉴这篇文章xstream运用,JAVA对象转xml,xml转JAVA对象-CSDN博客目录升级问题异常报错信息1com.thoughtworks.xstream.security.ForbiddenClassException解决方法需要降低限制权限异常报错信息2com.thoughtworks.xstream.converters.reflection.AbstractReflectionConverter$UnknownFieldException: No such field解决方
java XStream更新
编程技术提升
03-29 2993
漏洞详情 XStream 是一个常用的 Java 对象和 XML 相互转换的工具。近日 XStream 官方发布安全更新,修复了高危和严重漏洞如下: Version 1.4.17 CVE-2021-39139 任意代码执行漏洞 CVE-2021-39140 可能导致拒绝服务 CVE-2021-39141 任意代码执行漏洞 CVE-2021-39144 远程命令执行漏洞 CVE-2021-39145 任意代码执行漏洞 CVE-2021-39146 任意代码执行漏洞 CVE-2021-39147 任意代码执行漏
XStream升级1.4.18com.thoughtworks.xstream.converters.ConversionException问题
weixin_40786663的博客
01-16 2647
http://x-stream.github.io/javadoc/com/thoughtworks/xstream/XStream.html
Xstream使用教程
tttalk的博客
02-15 1539
xml解析、组装
xstream1.4.18升级报错
weixin_44754118的博客
05-23 1547
xstream 升级1.4.18 报错
自己用,漏洞修复工作--liunx小版本升级postgresql、XStream、mysql-connector-java、Jackson-databind等
weixin_43962622的博客
06-09 509
自己用,
xstream最新版 - xstream-1.4.18.jar
12-21
xstream最新版jar包
xstream-1.4.19.jar
05-04
xstream-1.4.19.jar
xstream-1.4.2.jar
11-13
XStream详解与应用》 XStream是一款强大的Java库,用于将对象序列化为XML,同时也能从XML数据中反序列化回对象。在标题"xstream-1.4.2.jar"中,我们看到的是XStream的一个特定版本——1.4.2。这个版本包含了...
XStream解析XML实例
04-14
<version>1.4.18 ``` 对于非Maven项目,需要下载对应的JAR包并将其添加到项目的类路径中。 **3. 基本使用** XStream的使用非常直观。首先,我们需要创建一个XStream实例,然后使用它来序列化或反序列化对象。 `...
xstream1.4.15.JAR
02-23
XStream 在其早期版本中就存在这样的问题,因为它允许不受限制的反序列化,没有对输入数据进行足够的验证。 XStream 1.4.15 版本的更新主要目的是解决这些安全问题。开发者引入了新的安全特性,比如默认禁止不受...
XStream 学习和使用
qq_43325216的博客
07-04 2422
一个XML的序列化工具,可以实现 Java对象序列化成XML,或者将XML反序列为Java对象。 API地址: XStream (XStream Core 1.4.19 API)核心jar包:xstream-1.4.19.jar 3、XStream 的常用注解 注解 说明 作用 @XStreamAlias 别名对象 4、注解及Xstream的使用 参考文档XStream 简介_veejaLiu的博客-CSDN博客_xstr
【已复现】XStream 拒绝服务漏洞(CVE-2022-41966)安全风险通告
smellycat000的专栏
12-28 4864
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告XStream是一个Java对象和XML相互转换的工具,用来将对象序列化成XML(JSON)或将XML反序列化为对象,并提供所有的基础类型、数组、集合等类型直接转换的支持。近日,奇安信CERT监测到XStream中存在拒绝服务漏洞(CVE-2022-41966),XStream在将XML反序列化为对象时存在堆栈溢出,未...
com.thoughtworks.xstream.security.ForbiddenClassException com.thoughtworks.xstream 1.4.18
善守者
12-01 2208
XStream1.4.18
XStream 源码解析
jackingzheng的专栏
11-22 1104
项目地址:XStream, 分析的版本: v1.4.11,Demo地址:TestStream, 相关jar下载地址 本文结构 1、功能介绍 2、总体设计 3、详细设计 4、如何提升XStream 解析速度 5、自定义Mapper和自定义Converter 6、总结 ##1、功能介绍 1.1简介 提供给Java使用的XML序列化工具 1.2 如何使用 public void testPopulati...
xstream最新版本_【漏洞预警】XStream小于1.4.14远程代码执行漏洞(CVE202026217)
weixin_39819576的博客
11-28 1731
01漏洞概述近日,XSteam官方发布版本更新,修复了一个安全漏洞。该漏洞编号为CVE-2020-26217,其最初报告为CVE-2017-9805,即未初始化安全框架的XStream实例取消任务时,存在任意命令执行漏洞。02影响范围XStream < 1.4.1403安全版本XStream 1.4.1404修复建议官方已在最新版本中修复了该漏洞,请受影响的用户尽快通过下方链接升级...
怎么升级升级xstream
06-07
升级 XStream,需要遵循以下步骤: 1.下载最新版本的 XStream jar 包。你可以从 XStream 官方网站下载最新的 jar 包:http://x-stream.github.io/download.html 2.将旧版的 XStream jar 包替换为新版的 jar 包。这通常意味着将旧版的 jar 包删除,然后将新版的 jar 包复制到相同的目录中。 3.检查你的代码是否使用了过时的 API。如果是这种情况,你需要更新代码以使用新的 API。 4.运行你的测试套件,确保所有测试都通过。 5.如果你使用的是 Maven 或 Gradle,你需要更新你的依赖项以包含最新版本的 XStream。 6.发布你的应用程序,并确保它能够正常工作。 请注意,在升级 XStream 时,你应该仔细检查你的应用程序是否仍然能够正常工作。如果你遇到了问题,你可以参考 XStream 的文档或向 XStream 社区寻求帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值