通过JAXB看XML外部实体注入(XML External Entity)

最新推荐文章于 2024-05-29 07:48:21 发布

aitangyong

最新推荐文章于 2024-05-29 07:48:21 发布

阅读量6.6k

点赞数 2

分类专栏： web安全文章标签： XXE JAXB

本文链接：https://blog.csdn.net/aitangyong/article/details/51907064

版权

我们先使用JAXB提供的注解标记下java类和XML映射关系：

package jaxb;

import javax.xml.bind.annotation.XmlAccessType;
import javax.xml.bind.annotation.XmlAccessorType;
import javax.xml.bind.annotation.XmlElement;
import javax.xml.bind.annotation.XmlRootElement;

@XmlRootElement
@XmlAccessorType(XmlAccessType.FIELD)
public class Student {

	@XmlElement(name = "name")
	private String name;

	public String getName() {
		return name;
	}

	public void setName(String name) {
		this.name = name;
	}

	@Override
	public String toString() {
		return "Student [name=" + name + "]";
	}

}

下面这个类使用JAXB的API进行对象和xml直接的相互转换：

package jaxb;

import java.io.FileInputStream;
import java.io.StringReader;
import java.io.StringWriter;

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

aitangyong

关注关注

2
点赞
踩
2

收藏

觉得还不错? 一键收藏
1
评论
通过JAXB看XML外部实体注入(XML External Entity)

JAXB的使用与XXE攻击的防御
复制链接

扫一扫

专栏目录

XML.rar_xml

09-20

- 需要注意防止XXE（XML External Entity）和XSS（Cross-site scripting）攻击，这些是由于不安全处理XML输入导致的安全问题。 10. **XML与JSON的比较**： - XML结构严谨，适合复杂的数据模型，但解析和生成成本...

JAXB血案之 XML外部实体注入漏洞(XXE)

weixin_47397751的博客

01-12

1159

1.漏洞描述 XML外部实体注入漏洞，即XXE（XML External Entity），此漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 2.JAXB是什么？ JAXB实现了java对象与xml之间的转换，使用的注解主要有：（1）@XmlRootElement：用于类级别的注释，对应XML的根节点。参数： name 定义这个根节点的名称 namespace 定义这个根节点命名空间（2）

1 条评论您还未登录，请先登录后发表或查看评论

第二讲外部实体注入

manok的专栏

12-19

1803

源代码审计，最近比较火爆，我们是创新的源代码审计课程。

Java代码审计安全篇-XXE(XML外部实体注入)漏洞

最新发布

dzqxwzoe的博客

05-29

1033

XML 实体允许定义标记，在分析 XML 文档时，这些标记将被内容替换。通常有三种类型的实体：内部实体外部实体参数实体。必须在文档类型定义（DTD）中创建一个实体，让我们从一个示例开始：正如你所看到的，一旦XML文档被解析器处理，它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的，这有很多优点，因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中，XML 可用于将数据从客户端获取到服务器，我们都熟悉 JSON API，我们也可以使用 xml。

《JAVA代码审计》（1）JAXB血案之 XML外部实体注入漏洞(XXE)

午夜安全

04-22

4553

（3）@XmlElement：将Java对象的属性映射为xml的节点，在使用@XmlElement时，可通过name属性改变java对象属性在xml中显示的名称。（2）@XmlAccessorType：用于指定由Java对象生成xml文件时对Java对象属性的访问方式。（4）@XmlAttribute：将Java对象的属性映射为xml的属性，并且可通过name属性为生成的xml属性指定别名。（1）@XmlRootElement：用于类级别的注释，对应XML的根节点。

JAVA代码审计中危险函数

小小猪的博客

12-27

2755

JAVA代码审计中危险函数 xxe： javax.xml.parsers.DocumentBuilder （原生dom解析xml）例子： DocumentBuilderFactory doc=DocumentBuilderFactory.newInstance(); DocumentBuilder db=doc.newDocumentBuilder(); InputStream is= new FileInputStream("test.xml"); Document doc=do..

JAXB- XML外部实体注入安全代码漏洞(XXE)

qq_24702263的博客

05-15

1960

XXE攻击（XML External Entity），此漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。具体的可以看：https://blog.csdn.net/qq_24702263/article/details/106137827 JAXB是什么？ JAXB实现了java对象与xml之间的转换 package com.jaxb; import java.io.FileInpu

java xml 实体注入_防止 XML外部实体注入

weixin_35193765的博客

02-16

2634

方式一DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();// 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";dbf.setFea...

JAVA XML 解析

05-14

处理XML时，必须注意安全问题，如XXE（XML External Entity）和XSS（Cross-site scripting）。Java提供了`org.xml.sax.ext.EntityResolver2`和`com.sun.org.apache.xerces.internal.impl.dv.util.Base64`等类来限制...

xml高级编程4（主页可下载其余部分）

02-27

XXE允许攻击者通过恶意外部实体访问服务器资源，而XSS则涉及注入恶意脚本到XML文档中，欺骗用户执行有害操作。 10. **XML和JSON的比较**：XML和JSON（JavaScript Object Notation）都是数据交换格式，XML具有丰富的...

操作XML方法大全

02-18

- 防止XXE（XML External Entity Injection）攻击：避免解析时启用外部实体，防止恶意代码注入。 - XML加密和签名：确保XML数据在传输和存储过程中的安全。 9. **XML处理库**： - 各种编程语言都有对应的XML处理...

xml外部实体攻击

07-17

xml外部实体使用，漏洞产生原因，详细举例攻击原理，修复方法等

XML高级编程

08-09

8. **XML安全**：包括XML注入攻击、XXE（XML External Entity）攻击等，是XML编程时需要防范的安全问题。 9. **XML的API和库**：在各种编程语言中，如Java的JAXB和DOM API，Python的lxml库，都有专门处理XML的工具...

防止 XML外部实体注入

gjp014的专栏

09-18

6450

方式一 DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); // 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击 String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl"; ...

XML External Entities 攻击（XML外部实体注入）

weixin_45352161的博客

05-17

3497

使用配置的 XML 解析器无法预防和限制外部实体进行解析，这会使解析器暴露在 XML External Entities 攻击之下说明： XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置，否则外部实体会迫使 XML 解析器访问由 URI 指定的资源，例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XM

XML外部实体注入（XXE）的原理和应用

iczfy585的博客

08-27

5668

文章目录XXE注入一、XML简介二、XML实体三、CTF中XEE攻击 XXE注入 XXE注入全称是xml external entity 注入，也就是xml外部实体注入。XXE漏洞发生在应用程序解析输入的XML时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取，命令执行等攻击。一、XML简介 XML是一种用户自定义的标记语言，主要用于数据的存储和传输。XML文档有自己的一个格式规范。是由DTD（document type define)来控制的。例如： <?xml version=

java代码审计

qq_44256371的博客

12-06

1459

java代码审计

WebGoat (A4) XML External Entities (XXE)

箭雨镜屋

03-15

2260

第4页这题要求用XXE注入罗列系统根目录。首先在上图的输入框输入个评论，比如cute，按submit提交。到burpsuite的proxy模块找到相关request报文，鼠标右键--send to repeater 从上图可见，<text></text>标签之前的内容是会显示在评论区的，因此如果在此处引用外部实体，外部实体的内容也是可以显示在评论区的。在request报文中的xml代码中增加DTD，并在其中定义外部实体root，其内容是"file:///"，

Web安全--XXE

lanyef的专栏

10-12

838

0x01 简介顺手搜了一下CVE，XXE的问题还真不少。 XXE，XML External Entity （外部实体）。 DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。它使用一系列的合法元素来定义文档结构。一般实体（General Entities）可在xml中进行引用，&js; <?xml version="1.0" stand...

XML外部实体注入漏洞原理

05-24

XML外部实体注入漏洞（XML External Entity Injection, 简称XXE）是一种常见的安全漏洞，攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。在XML文档中，可以通过定义实体来引用外部资源，例如文件、URL等。当XML解析器解析XML文档时，如果不对外部实体进行限制，攻击者可以通过构造恶意的XML文档，将外部实体指向敏感文件或者恶意URL，从而导致漏洞。具体来说，攻击者可以在XML文档中定义一个实体，使用DTD（Document Type Definition）语法将该实体指向一个外部文件，然后在XML文档中使用该实体。当XML解析器解析该实体时，就会将指定的外部文件读取进来，从而导致漏洞。例如，下面的XML文档定义了一个名为“file”的实体，指向了一个敏感文件“/etc/passwd”： ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制，那么解析该文档时就会读取“/etc/passwd”文件的内容，并将其包含在<message>元素中返回给应用程序，从而导致敏感信息泄漏。为了防止XXE漏洞，可以采取以下措施： 1. 禁止使用外部实体，或者限制外部实体的使用范围。可以在XML解析器中设置相关参数，例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤，只允许加载特定的URL或文件。 3. 检查输入数据，避免恶意输入注入到XML文档中。 4. 对于持久化的XML数据，应该使用安全的XML库来处理，例如使用DOM4J或JAXB等库，这些库会自动过滤掉外部实体。

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交