通过JAXB看XML外部实体注入(XML External Entity)

最新推荐文章于 2024-08-16 17:40:16 发布
最新推荐文章于 2024-08-16 17:40:16 发布
阅读量6.6k 收藏 2
点赞数 2
分类专栏: web安全 文章标签: XXE JAXB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aitangyong/article/details/51907064
版权
本文探讨了如何通过JAXB处理XML外部实体注入(XXE)问题。介绍了使用JAXB注解定义Java类与XML映射,并展示了在XML内容中存在外部实体时,如何通过xmlToObjectSafe方法安全地进行对象与XML的转换。
摘要由CSDN通过智能技术生成

我们先使用JAXB提供的注解标记下java类和XML映射关系:

package jaxb;

import javax.xml.bind.annotation.XmlAccessType;
import javax.xml.bind.annotation.XmlAccessorType;
import javax.xml.bind.annotation.XmlElement;
import javax.xml.bind.annotation.XmlRootElement;

@XmlRootElement
@XmlAccessorType(XmlAccessType.FIELD)
public class Student {

	@XmlElement(name = "name")
	private String name;

	public String getName() {
		return name;
	}

	public void setName(String name) {
		this.name = name;
	}

	@Override
	public String toString() {
		return "Student [name=" + name + "]";
	}

}


下面这个类使用JAXB的API进行对象和xml直接的相互转换:

package jaxb;

import java.io.FileInputStream;
import java.io.StringReader;
import java.io.StringWriter;
最低0.47元/天 解锁文章
aitangyong
关注
专栏目录
JAXB- XML外部实体注入安全代码漏洞(XXE)
qq_24702263的博客
05-15 2034
XXE攻击 (XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 具体的可以看:https://blog.csdn.net/qq_24702263/article/details/106137827 JAXB是什么? JAXB实现了java对象与xml之间的转换 package com.jaxb; import java.io.FileInpu
JAXB血案之 XML外部实体注入漏洞(XXE)
weixin_47397751的博客
01-12 1233
1.漏洞描述 XML外部实体注入漏洞,即XXEXML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 2.JAXB是什么? JAXB实现了java对象与xml之间的转换,使用的注解主要有: (1)@XmlRootElement:用于级别的注释,对应XML的根节点。参数: name 定义这个根节点的名称 namespace 定义这个根节点命名空间 (2)
XXEXML External Entity Injection
四问四不知的博客
05-27 1411
参考链接:http://xz.aliyun.com/t/3357
XML外部实体注入
最新发布
2201_75572825的博客
08-16 1524
比如下面这个插入了“<”符号,解析器会把它当作新元素的开始,就会产生错误,为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。其中,entity-name是参数实体的名称,entity-value 是参数实体的值。在这个例子中,定义了一个名为author的内部实体,它的实际内容是John Smith,在xml文档中,通过&author进行引用,并将其替换为实际内容。而在DTD中,实体是一种可以被引用的数据型,它可以用来代替特定的字符,字符串,符号等,从而使DTD更加灵活和易于维护。
PortSwigger Academy | XML external entity (XXE) injection : XML外部实体注入
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
02-01 1460
文章目录什么是XML外部实体注入XXE漏洞如何产生?XML实体什么是XML?什么是XML实体?什么是文件型定义?什么是XML自定义实体?什么是XML外部实体XXE攻击有哪些型? 在本节中,我们将解释什么是XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种XXE注入,并总结如何防止XXE注入攻击。 什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个网络安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。 它通常使攻击者可以查看应用程序服务器文件系统上的文件,并与应用程
[20][03][14] XML External Entity Injection(XXE)
安全新司机
05-19 455
文章目录1. 描述2. 场景3. 复现问题3.1 解析 XML 文件或 xml 字符串4. 如何解决 XXE4.1 升级第三方组件版本至安全版本4.2 主动防御外部实体 1. 描述 在对外部接口传入的 xml 型的参数或 xml 文件,在代码中需要对这些未经合法性校验的参数进行 xml 解析时,执行里面隐藏的外部实体,从而引发安全问题 2. 场景 解析 xml 字符串 解析 xml 文件 3. 复现问题 3.1 解析 XML 文件或 xml 字符串 待解析 xml 文件,命名为 xxe.xml &
Fortify---XML External Entity InjectionXML实体注入
蓝天⊙白云的博客
09-16 929
最近在做一些有关fortify的修复工作,记录一下。 1.问题简介 XML External Entities是指利用XML特征来动态构建XML文档进行攻击。一个XML实体允许包含从指定数据源获取动态数据。外部实体允许一个XML实体包含从外部URI获取的数据。除非经过配置,否则外部实体会强制 XML 解析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XML External Entity (XXE) 攻击,从而用于拒绝本地系统的服务,获取对本地计算机上文
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...
XML.rar_xml
09-20
- 需要注意防止XXEXML External Entity)和XSS(Cross-site scripting)攻击,这些是由于不安全处理XML输入导致的安全问题。 10. **XML与JSON的比较**: - XML结构严谨,适合复杂的数据模型,但解析和生成成本...
JAVA XML 解析
05-14
处理XML时,必须注意安全问题,如XXEXML External Entity)和XSS(Cross-site scripting)。Java提供了`org.xml.sax.ext.EntityResolver2`和`com.sun.org.apache.xerces.internal.impl.dv.util.Base64`等来限制...
xml entity
Eric_Hxy的专栏
03-21 3360
entity entity翻译为"实体"。它的作用似word中的"宏",也可以理解为DW中的摸板,你可以预先定义一个entity,然后在一个文档中多次调用,或者在多个文档中调用同一个entityentity可以包含字符,文字等等,使用entity的好处在于:1.它可以减少差错,文档中多个相同的部分只需要输入一遍就可以了。2.它提高维护效率。比如你有40个文档都包含copyright的en
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 4699
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于级别的注释,对应XML的根节点。
JAXB实现XML实体对象互转
gavinloo的专栏
05-16 543
通过JAXB实现XML实体对象的互转,代码如下: import java.io.IOException; import java.io.StringReader; import java.io.StringWriter; import javax.xml.bind.JAXBContext; import javax.xml.bind.Marshaller; import javax.xml.
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2173
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档型定义(可选)、文档元素。 DTD(文档型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
jaxB实体xml之间的转换
Senssic
03-20 1182
实体: package org.senssic.jaxrs.bean; import java.util.Date; import javax.xml.bind.annotation.XmlRootElement; @XmlRootElement public class User { private String name; private int age; private Da
Jackson CVE-2016-3720 xxe
王嘟嘟的博客
02-22 496
似乎从来都没有管过Jackson的问题,所以Jackson还是要捡起来的。本次分析的漏洞是CVE-2016-3720,xxe漏洞,CVE链接:https://cve.mitre.org/cgi-bin/cvename.cgi?因为太简单,也没有什么人复现。
Jackson CVE-2016-7051 SSRF(待定)
王嘟嘟的博客
02-27 303
继之后,最近的一个cve,这个cve的导致原因是因为CVE-2016-3720 修复不完全所导致的。但是经过分析之后发现并没有找到合适的利用方式。主要还是做一个记录影响版本:2.7.8之前和2.8.4之前的2.8.x。
java xml实体之间的转换(附有XXE漏洞解决方案)
lqr666的博客
01-09 1690
javaBean与xml之间相互转换(附有XXE漏洞解决方案)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值