配置Java XML分析器以防止XXE

最新推荐文章于 2024-05-04 20:08:41 发布
最新推荐文章于 2024-05-04 20:08:41 发布
阅读量659 收藏 1
点赞数
文章标签: java
本文介绍了如何防止Java XML解析器遭受XXE(XML External Entity)攻击。通过启用XML外部实体,攻击者可能读取系统文件。Java的SAX解析器默认启用外部实体,容易受到此类攻击。为解决此问题,可以通过禁用xerces1或xerces2的外部实体和doctype来改变默认设置。参考OWASP XXE备忘单了解更多防御措施。
摘要由CSDN通过智能技术生成

启用XML eXternal Entity(XXE)后,可以创建恶意XML(如下所示)并读取计算机上任意文件的内容。 XXE攻击是OWASP十大漏洞的一部分,这并不奇怪。JavaXML库特别容易受到XXE注入的攻击,因为大多数XML解析器默认情况下都启用了外部实体。 

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE bar [
       <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<song>
   <artist> &xxe; </artist>
   <title> Bohemian Rhapsody </title>
   <album> A Night at the Opera </album>
</song>

如下所示,DefaultHandler和Java SAX解析器的简单实现实现了对该XML文件的解析并显示了passwd文件的内容。 这里以Java SAX解析器案例为主要示例,但其他解析器(如DocumentBuilder和DOM4J)具有类似的默认行为。 

SAXParserFactory factory = SAXParserFactory . newInstance ();
SAXParser saxParser = factory . newSAXParser ();

DefaultHandler handler = new DefaultHandler () {

    public void startElement ( String uri , String localName , String qName , Attributes attributes ) throws SAXException {
        System . out . println ( qName );
    }

    public void characters ( char ch [], int start , int length ) throws SAXException {
        System . out . println ( new String ( ch , start , length ));
    }
};

更改默认设置以分别禁止xerces1xerces2的外部实体和doctype可以防止此类攻击。 

...
SAXParserFactory factory = SAXParserFactory . newInstance ();
SAXParser saxParser = factory . newSAXParser ();

factory . setFeature ( "https://xml.org/sax/features/external-general-entities" , false );
saxParser . getXMLReader (). setFeature ( "https://xml.org/sax/features/external-general-entities" , false );
factory . setFeature ( "https://apache.org/xml/features/disallow-doctype-decl" , true ); 
...

有关防止恶意XXE注入的更多动手信息,请查看OWASP XXE备忘单

这只是10个Java安全最佳实践中的1个。 看一看完整的10页和易于打印的一页纸

From: https://dev.to/brianverm/configure-your-java-xml-parsers-to-prevent-xxe-213c

cunxiedian8614
关注
Java代码审计——WebGoat XML外部实体注入(XXE)
m0_61506558的博客
11-16 786
在进行代码分析之前,要先懂漏洞产生的原理,不妨看看这篇文章,WebGoat上面描述的也不错,值得研读。
xxe-xml外部实体注入
nigo134的博客
07-27 2978
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
XXE漏洞 解决方案(JAVA版本)
goldDaNiu的博客
07-05 9383
/**      * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。      * @param strxml      * @return      * @throws JDOMException      * @throws IOException      */      public static Map doXMLParse(String...
[实践总结] java XML解析防止外部实体注入
张紫娃的博客
01-06 1000
【代码】[实践总结] java XML解析防止外部实体注入。
JDOM防XXE注入
h1307405258的博客
07-06 1662
SAXBuilder builder = new SAXBuilder(); builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true); builder.setFeature("http://xml.org/sax/features/external-general-entities", fals...
java SAX 防xml注入,如何防止XML注入像XML Bomb和XXE攻击
weixin_29672981的博客
03-13 883
您是否尝试过OWASP page的以下代码段?import javax.xml.parsers.DocumentBuilderFactory;import javax.xml.parsers.ParserConfigurationException; // catching unsupported features...DocumentBuilderFactory dbf = DocumentBu...
java防止xxe漏洞
pengjj2的博客
05-14 639
java防止xxe漏洞关于xmlxxe漏洞的处理 关于xmlxxe漏洞的处理 xml通过xxe可以执行远程代码。在xml中植入: <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE nsfocus-sec [ <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <methodcall> <metho
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
防止XXE的方法是限制XML解析器对外部实体的访问,或者完全禁用外部实体。 3. **反序列化漏洞**: Java的反序列化机制允许对象的状态从字节流恢复到对象实例。然而,如果序列化和反序列化过程没有正确地进行安全控制...
【burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)
wangluoanquan111的博客
01-26 1113
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
XML常见解析方式及XXE防御
最新发布
chaottop的博客
05-04 1125
SimpleXML是PHP5后提供的一套简单易用的xml工具集,可以把xml转换成方便处理的对象,也可以组织生成xml数据。不过它不适用于包含namespace的xml,而且要保证xml格式完整(well-formed)。它提供了三个方法:simplexml_import_dom、simplexml_load_file、simplexml_load_string,函数名很直观地说明了函数的作用。三个函数都返回SimpleXMLElement对象,数据的读取/添加都是通过SimpleXMLElement操作.
XXE-XML外部实体注入 漏洞详解
m0_69043895的博客
04-14 1370
XML指可扩展标记语言(Extensible Markup Language)。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它在 HTML 之后开发,来弥补 HTML的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。反之,XML 用于定义数据如何被组织。例如,HTML中,你的标签为<title>、<h1>、<tab1e>,<p>以及其它标签。
XXE代码审计以及XXE漏洞修复
01-27 1792
java XXE代码审计 java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式 使用DOM解析XML protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String result=""; try { //DOM
XXE漏洞及防御
2301_76717406的博客
03-24 1196
&xxe;
XML外部实体注入)XXE
weixin_42299862的博客
03-07 814
测试怎么测 一、前提条件:(1)有入口用户可上传XML (2)后台解析了XML & 允许DTD或外部实体扩展 二、测试发现漏洞点 https://xz.aliyun.com/t/3357 1、实体循环DDOS a)、发送以下XML代码到服务器,如: <!ENTITY % xx '&#x25;zz;'> <!ENTITY % zz '&#x25;xx;'&g...
JAVA常见的XXE漏洞写法和防御
表弟的博客
08-28 2166
JAVA常见的XXE漏洞写法和防御 貌似最近经常看到有Java项目爆出XXE的漏洞并且带有CVE,包括Spring-data-XMLBean XXE漏洞、JavaMelody组件XXE漏洞解析、Apache OFBiz漏洞。微信支付SDK的XXE漏洞。本质上xxe的漏洞都是因为对xml解析时允许引用外部实体,从而导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。...
java XML解析防止外部实体注入
weixin_30653023的博客
03-27 2016
  /** * 增加防止部实体注入逻辑 * <功能详细描述> * @param reader * @throws SAXException * @see [类、类#方法、类#成员] */ public static void setReaderFeature(SAXReader reader) ...
XXE修复方案参考
oscarli的博客
07-05 2584
XXE不同的库修复代码,略有差别,但都是通过: 1、禁止加载外部实体; 2、不允许XML中含有任何自己声明的DTD。可以解决
XXE外部实体注入漏洞的测试和修复——Java
逆水行舟
07-27 5842
测试过程: 代码检测时发现存在XXE问题,可通过自行改造的xml内容,请求存在XXE问题的接口,测试该漏洞。 比如使用如下xml,通过读取document中 testText这个Element,即可获取到test.json中的文件内容: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE entity [ <!ENTITY file SYSTEM "file:///C:/Users/xxx/Desktop/test.json".
Java XML XXE 底层防御
沧海一粟
12-07 6569
JavaXML相关API 是由JAXP定义了相关的XML的通用接口,常见包括DOM/SAX/STAX/XPATH 的标准API Javax.xml.parsers  -> DOM/SAX Javax.xml.stream   -> STAX Javax.xml.xpath    -> XPATH Javax.xml.bind     -> JAXB javax.xml.ws
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值