XXE漏洞 解决方案(JAVA版本)

最新推荐文章于 2024-06-19 17:20:50 发布
最新推荐文章于 2024-06-19 17:20:50 发布
阅读量9.3k 收藏 2
点赞数
分类专栏: 黑客攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goldDaNiu/article/details/80928537
版权
本文探讨了针对XXE(XML外部实体)漏洞的解决方案,以JAVA代码为例,展示了如何处理恶意XML输入,防止攻击者通过外部实体获取系统敏感信息。通过限制XML解析器的配置,可以有效避免此类安全问题。
摘要由CSDN通过智能技术生成
/** 
     * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。 
     * @param strxml 
     * @return 
     * @throws JDOMException 
     * @throws IOException 
     */  
    public static Map doXMLParse(String strxml) throws JDOMException, IOException {  
    //过滤关键词,防止XXE漏洞攻击
    strxml = XMLUtil.filterXXE(strxml);
    //
        strxml = strxml.replaceFirst("encoding=\".*\"", "encoding=\"UTF-8\"");  
  
        if(null == strxml || "".equals(strxml)) {  
            return null;  
        }  
          
        Map m = new HashMap();  
          
        InputStream in = new ByteArrayInputStream(strxml.getBytes("UTF-8"));  
        SAXBuilder builder = new SAXBuilder();  
        Document doc = builder.build(in);  
最低0.47元/天 解锁文章
大牛特牛
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
XXE漏洞以及XXE漏洞如何修复
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XML。XXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
【1day】用友多个接口存在xxe漏洞(大量存在)
记录并分享学习安全的知识点..
12-28 1095
用友是一家专业的企业软件服务商,提供全面的企业管理软件和解决方案,包括财务、人力资源、供应链、生产制造等多个领域。某友系统作为其核心产品之一,是一款集成度高、功能全面的企业管理软件,可帮助企业实现全面的业务管理和智能化决策,提升企业运营效率、降低成本、增强竞争力。过滤用户输入:在接受 XML 数据输入的地方,对用户提交的 XML 进行严格的输入验证和过滤,去除或转义潜在的恶意实体。禁用外部实体:在 XML 解析器中禁用外部实体的加载,例如在 Java 中可以通过设置解析器的特性来禁用外部实体加载。
XXE代码审计以及XXE漏洞修复
01-27 1789
java XXE代码审计 java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式 使用DOM解析XML protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String result=""; try { //DOM
XXE漏洞安全-全网最详细讲解】
最新发布
heike_Ch的博客
06-19 1002
Entity)漏洞是一种安全漏洞,出现在使用XML解析器的应用程序中。它允许攻击者利用可信任的XML扩展功能来执行恶意操作,如读取本地文件、发起远程网络请求或执行任意命令。XXE漏洞的发生通常是由于应用程序在解析XML输入时未正确验证或限制实体引用。攻击者可以通过构造恶意的XML输入,将外部实体(externalentity)引用进来,然后利用这些实体来获取敏感信息或进行其他攻击。其中最常见的一种攻击是利用DTD(Document Type。
javaxxe漏洞修复方法
weixin_30245867的博客
02-28 1484
java中禁止外部实体引用的设置方法不止一种,这样就导致有些开发者修复的时候采用的错误的方法 之所以写这篇文章是有原因的!最早是有朋友在群里发了如下一个pdf, 而当时已经是2019年1月末了,应该不是2018年7月份那个引起较大轰动的alipay java sdk的了,我突然虎躯一震,该不是。。。 进去看了一下,果然是我前不久在github给WxJava提的一个cve漏洞(CV...
网络安全之XXE漏洞复现及防御(上篇)(技术进阶)
weixin_70911257的博客
04-16 1395
xxe漏洞复现
JAVA常见的XXE漏洞写法和防御
表弟的博客
08-28 2166
JAVA常见的XXE漏洞写法和防御 貌似最近经常看到有Java项目爆出XXE漏洞并且带有CVE,包括Spring-data-XMLBean XXE漏洞JavaMelody组件XXE漏洞解析、Apache OFBiz漏洞。微信支付SDK的XXE漏洞。本质上xxe漏洞都是因为对xml解析时允许引用外部实体,从而导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。...
XXE漏洞
qq_43668710的博客
06-10 397
文章目录XML基础简单介绍基本语法XXE简单介绍攻击危害防御方案 XML基础 简单介绍 XML 指可扩展标记语言(eXtensible Markup Language),是一种用于标记电子文件使其具有结构性的标记语言,被设计用来传输和存储数据。 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。目前,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVG header)应用比较广泛。 XML 的语法规范由 DTD (Docume
Java中利用EXCEL进行XXE攻击
weixin_42296449的博客
03-31 3396
Java中常见解析Excel引入的XXE组件复现与分析 新建excel文件 修改后缀为.zip 在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC 重新修改后缀为 .xlsx 结果发现 直接通过 SAXReader 来解析xml文档,导致xxe漏洞的产生 修复方案 是在此处增加了一个SAXHelper类来进行防御处理 Apache POI,受影响...
java --XXE 攻击原理及防御
tryheart的博客
09-05 1983
什么是 XEE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。需要强调的是利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要被 XML 中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。 XEE 背景 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采
XXE漏洞利用技巧(XML注入):从XML到远程代码执行
墨痕诉清风的博客
10-12 4882
如今的 web 时代,是一个前后端分离的时代,有人说 MVC 就是前后端分离,但我觉得这种分离的并不彻底,后端还是要尝试去调用渲染类去控制前端的渲染,我所说的前后端分离是,后端 api 只负责接受约定好要传入的数据,然后经过一系列的黑盒运算,将得到结果以 json 格式返回给前端,前端只负责坐享其成,拿到数据json.decode 就行了(这里的后端可以是后台代码,也可以是外部的api 接口,这里的前端可以是传统意义的前端,也可以是后台代码)我们以存在 XXE 漏洞的服务器为我们探测内网的支点。...
XXE原理,利用与修复详解
GalaxySpaceX的博客
07-20 1312
XXE原理+利用+修复
XXE漏洞利用详情和修复
汤圆的博客
02-12 789
简介 xxe也就是xml外部实体注入,简单理解就是当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。 实验环境 PHP版本:5.5.45 中间件:apache 复现平台:漏洞练习平台 利用详情 复制burp生成的地址 ,然后在x...
JDOM防XXE注入
h1307405258的博客
07-06 1661
SAXBuilder builder = new SAXBuilder(); builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true); builder.setFeature("http://xml.org/sax/features/external-general-entities", fals...
配置Java XML分析器以防止XXE
专业的开发者“讨论”
06-03 657
启用XML eXternal Entity(XXE)后,可以创建一个恶意XML,如下所示,&#2418...
java SAX 防xml注入,如何防止XML注入像XML Bomb和XXE攻击
weixin_29672981的博客
03-13 883
您是否尝试过OWASP page的以下代码段?import javax.xml.parsers.DocumentBuilderFactory;import javax.xml.parsers.ParserConfigurationException; // catching unsupported features...DocumentBuilderFactory dbf = DocumentBu...
XXE漏洞详解(全网最详细)
qq_61553520的博客
05-09 4855
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入。
如何限制XXE解析?
weixin_49715102的博客
04-27 163
在我的上一篇文章中,我们明白了如何配置XML解析器来实现全面禁用XXE声明和扩展。这是一个简单但严格的解决方案,可能很难在您的项目中实现。所以今天,我们将讨论如何精确地限制XXE。同样,我们的示例代码将主要使用Java代码,同时也参考其他语言的代码。 限制外部连接到授权协议 Java JAXP API 1.5版添加了新的属性来限制对外部内容的访问。在本文中,我们将只关注限制XXE,从而限制访问外部DTD属性。但限制对其他外部资源(如模式)的访问对于降低其他XML漏洞的风险也具有必要性。 必须使用授权协议列.
不能联网怎么解决xxe漏洞 java代码
06-02
XXE漏洞是一种利用XML解析器的漏洞,攻击者可以通过构造恶意XML文件来获取敏感信息或者执行任意代码。解决XXE漏洞的一种方法是禁止外部实体的解析,可以使用以下Java代码实现: ```java DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); dbf.setFeature("http://xml.org/sax/features/external-general-entities", false); dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false); dbf.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true); ``` 这段代码禁止了解析DOCTYPE声明和外部实体,同时启用了安全处理特性,从而有效地防止了XXE漏洞的利用。当然,这只是一种简单的方式,实际解决XXE漏洞需要根据具体情况采取不同的措施。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值