[连载2]高端java课程-代码审计中常见漏洞的特征函数-xxe-补充篇(框架设计者的无奈)

最新推荐文章于 2024-03-20 06:57:43 发布
最新推荐文章于 2024-03-20 06:57:43 发布
阅读量394 收藏 1
点赞数
分类专栏: Java代码审计 漏洞分析心得 文章标签: java 代码审计 xxe XXEUtil 高端java课程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/102572611
版权

[高端java课程]系列讲座

我在一个软件中发现了一个类XXEUtil,主要作用是阻止出现xxe漏洞,进行一个预防措施,这确实是一个好的方案。

奈何!这个方案有个重大的弱点,他不是类似spring框架的AOP编程的思想实现的切面编程,需要开发人员在实际使用xml的时候调用这个类中的方法。

我截取了这个类的代码如下:

import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.stream.XMLInputFactory;
import javax.xml.transform.sax.SAXTransformerFactory;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.dom4j.io.SAXReader;
import org.jdom.input.SAXBuilder;
import org.xml.sax.XMLReader;

public class XXEUtil {

   private static final Log LOG = LogFactory.getLog(XXEUtil.class);


   public static void prevent(XMLReader reader) {
      if(reader != null) {
         try {
            reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
         } catch (Exception var2) {
            LOG.warn(var2);
         }

      }
   }

   public static void prevent(XMLInputFactory factory) {
      if(factory != null) {
         try {
            factory.setProperty("javax.xml.stream.supportDTD", Boolean.valueOf(false));
            factory.setProperty("javax.xml.stream.isSupportingExternalEntities", Boolean.valueOf(false));
         } catch (Exception var2) {
            LOG.warn(var2);
         }

      }
   }

   public static void prevent(SAXReader reader) {
      if(reader != null) {
         try {
            reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
            reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
            reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
         } catch (Exception var2) {
            LOG.warn(var2);
         }

      }
   }

   public static void prevent(SAXBuilder builder) {
      if(builder != null) {
         try {
            builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
            builder.setFeature("http://xml.org/sax/features/external-general-entities", false);
            builder.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
         } catch (Exception var2) {
            LOG.warn(var2);
         }

      }
   }

   public static void prevent(SAXTransformerFactory sf) {
      if(sf != null) {
         try {
            sf.setAttribute("http://javax.xml.XMLConstants/property/accessExternalDTD", "");
            sf.setAttribute("http://javax.xml.XMLConstants/property/accessExternalStylesheet", "");
         } catch (Exception var2) {
            LOG.warn(var2);
         }

      }
   }

   public static void prevent(DocumentBuilderFactory dbf) {
      if(dbf != null) {
         try {
            dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
         } catch (Exception var2) {
            LOG.warn(var2);
         }

      }
   }

}

而我在全部代码中搜索,发现仅有一处地方调用了这个类的prevent函数。

   public SXWFileParser(File file) {
      try {
         this.setFile(file);
         String ex = file.getAbsolutePath();
         this.redXArchive = new RedXArchive(ex);
         this.reader = XMLReaderFactory.createXMLReader("org.apache.xerces.parsers.SAXParser");
         this.reader.setFeature("http://xml.org/sax/features/validation", false);
         this.reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
         this.reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
         this.reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
         this.reader.setFeature("http://xml.org/sax/features/namespaces", true);
         XXEUtil.prevent(this.reader);
         this.handle = new RedXWriterContentHandler();
         this.reader.setContentHandler(this.handle);
         this.reader.setEntityResolver(this.handle);
      } catch (Exception var3) {
         log.error(var3.getMessage(), var3);
      }

   }

[高端java课程]本章重点

  1. 国人开发的东西往往都是各自为政
  2. 好的政策真正实施起来可能面目全非
  3. 越是你认为没问题的地方,也许越是可能发现问题
  4. 框架设计者以为自己做的很好,能防止大部分问题出现,而往往疏忽大意,这正是机会!

 

3riC5r
关注
专栏目录
Java代码审计XXE漏洞详解
悦分享
01-24 90
除此之外,XML文档还规定了一系列定义好的“字符引用”,使用特殊的字母组合来表示某些特殊字符,如“
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞
JAVA代码审计危险函数
小小猪的博客
12-27 2913
JAVA代码审计危险函数 xxejavax.xml.parsers.DocumentBuilder (原生dom解析xml) 例子: DocumentBuilderFactory doc=DocumentBuilderFactory.newInstance(); DocumentBuilder db=doc.newDocumentBuilder(); InputStream is= new FileInputStream("test.xml"); Document doc=do..
Java 代码审计常用漏洞总结
LANXIAMAO的博客
06-18 1058
但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程执行构造的任意代码。download 函数把 filePath 处的文件写到 http 响应,在整个流程并没有对文件名的合法性进行检查,存在任意文件下载漏洞,如通过把 affixalName 的值设置。主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯:跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。
java的危险函数
任浩的博客
01-13 1256
getParameter() getcokies() getQueryString() getheaders() Runtime.exec() logger.info() password() upload() download()
Java代码危险函数
糖小喵
04-12 1160
JavaID通过常规匹配来识别Java代码的某些危险函数。 有关更多详细信息,请在主站点github.com/Cryin/JavaID上查看源代码XXE: "SAXReader", "DocumentBuilder", "XMLStreamReader", "SAXBuilder", "SAXParser", "XMLReader", "SA...
WebGoat8-xxe注入漏洞分析
09-15
在 Web 应用程序安全测试XXE(XML External Entity)注入漏洞是一种常见漏洞,攻击者可以通过该漏洞读取服务器上的敏感信息甚至控制服务器。下面是对 WebGoat8 XXE 注入漏洞的分析。 XXE 注入漏洞的工作...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节,我们将详细介绍 XXE 漏洞的利用方法,特别是任意...
HIN2xxE系列RS-232收发器的原理及应用
12-13
摘要:HIN2xxE系列是由+5V单电源供电的高速RS-232收发电路,符合EIA RS-232C和V.28规范,以电源功耗低为显著特点,广泛应用于ISDN和高速调制解调器,尤其是电池供电系统。文主要介绍HIN2xxE系列电路的原理、特性...
java代码审计字典(10种类型-上).pdf
09-27
Java代码审计过程,关注点包括但不限于SQL注入、间件框架注入、XSS跨站脚本攻击、XXE XML外部实体注入、反序列化漏洞、路径安全和Zip文件提取安全等。以下是根据提供的文件内容,详细解释这些审计知识点: 1....
Java代码审计XXE漏洞
god_Zeo的安全博客
08-19 1096
0x00 前提 Java 代码审计自学:主要自己一个人学习,有点闭门造车,搜索引擎学习法,但是还是记录一下,也分享一下,也便于将来的总结和反思,如果我能终能学到什么,我也会重新梳理思路,为那些自学者提供一个好的思路,所以有了下面的系列文章java代码审计自学。 0x01 XXE漏洞简介 XXE(XML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等
XXE漏洞简析
weixin_33708432的博客
05-16 853
0x00.什么是XXE? XML外部实体注入(XML External Entity Injection) XML基础 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型. 是一种允许用户对自己的标记语言进行定义的源语言。 XML文档结构包括XML声明、DTD文档类型定义、文档元素。 DTD(文档类型定义)的作用是定义xml文档的合法构建模块。 DTD...
java代码审计XXE
糖小喵
04-16 447
介绍 XML 文档结构包括 XML 声明、 DTD 文档类型定义(可选)、文档元素。文档类型定义(DTD)的作用是定义 XML 文档的合法构建模块。 DTD 可以在 XML 文档内声明,也可以外部引用。 内部声明 DTD: 引用外部 DTD: 当允许引用外部实体时,恶意攻击者即可构造恶意内容访问服务器资源,如读取 passwd 文件: <?xml version="1.0" encod...
Java安全技术及代码审计技巧
最新发布
sinat_17584329的博客
03-20 426
概述Java安全编码和代码审计是确保Java应用程序安全性的重要环节。本文旨在介绍Java常见的Web漏洞、安全编码示例以及一些常见漏洞函数,并提供一个自动化查找危险函数的Python脚本。
以jarvis oj api接口为例讲解xxe攻击
欢迎来到神林的博客
09-10 533
以jarvis oj api接口为例讲解xxe攻击 xml基本介绍 xml被设计来进行数据的传输以及数据储存。xml文档结构包括: 其xxe就是利用DTD特意声明某种协议再用文档元素进行调用来实现攻击。 xml内外部元素 由于可以对DTD进行声明,我们有两种选择:内部实体声明: <!DOCTYPE note [<!ELEMENT noet (xxx)>]> 其...
XML解析器安全配置
loongshawn的博客
08-03 2934
背景说明 应用工程使用XML解析器解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。 通过配置XML解析器,禁止加载外部实体。 SAXReader解析器 public static...
Java使用SAX解析xml文件详解,3.使用sax解析xml文档(我的JavaEE笔记)
weixin_39528994的博客
03-15 506
注意:使用sax编程只能进行查询操作。1、在使用DOM解析XML文档时,需要读取整个XML文档,在内存构架代表整个DOM树的Document对象,从而再对XML文档进行操作。此情况下,如果XML文档特别大,就会消耗计算机大量内存,并且容易导致内存溢出。2、 SAX解析允许在读取文档的时候,立即对文档进行处理,而不必等到整个文档装载完才会对文档进行操作。3、SAX采用事件处理的方式解析XML文件...
Java XML漏洞解决方案
我要MEANING
07-23 2527
1:SAXReader添加 SAXReader saxReader = new SAXReader(false); saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); saxReader.setFeature("http://xml.org/sax/features/external...
java xxe代码审计方法
05-18
Java XXE(XML External Entity)漏洞是一种常见的Web漏洞,攻击者可以利用它来读取本地文件、发起远程请求等。对于Java应用程序,XXE漏洞通常出现在处理XML输入时,因此在对Java代码进行审计时,需要关注与XML相关的代码。 以下是一些可能Java XXE代码审计方法: 1. 检查XML解析器配置:在Java,XML解析器可以通过不同的方式进行配置,如使用JAXP(Java API for XML Processing)或SAX(Simple API for XML)。检查解析器的配置是否允许外部实体、是否设置了解析器属性以防止XXE攻击等。 2. 检查XML输入处理:检查代码是否使用了不安全的XML输入处理方法,如DocumentBuilderFactory、SAXParser等,是否使用了不安全的XML处理API,如Xerces、dom4j等。同时,还要注意代码是否对输入进行了充分的验证和过滤,以防止攻击者利用XXE漏洞进行注入攻击。 3. 检查文件读取操作:在Java,攻击者可以通过XXE漏洞读取本地文件,因此需要注意代码是否存在不安全的文件读取操作,如FileReader、FileInputStream等。同时,还要注意代码是否对读取文件的路径进行了充分的验证和过滤,以防止攻击者读取敏感文件。 4. 检查网络请求操作:攻击者可以通过XXE漏洞发起网络请求,因此需要注意代码是否存在不安全的网络请求操作,如URLConnection、HttpClient等。同时,还要注意代码是否对请求的URL进行了充分的验证和过滤,以防止攻击者发起恶意请求。 总之,在Java代码审计,需要重点关注与XML相关的代码,并进行充分的验证和过滤,以防止XXE漏洞等Web漏洞的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值