关于XML解析存在的安全问题指引

最新推荐文章于 2024-05-05 22:21:50 发布
最新推荐文章于 2024-05-05 22:21:50 发布
阅读量8.1k 收藏 6
点赞数 3
分类专栏: JAVA 文章标签: XML 实体注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jianggujin/article/details/81623467
版权

最近一段时间被曝出的微信支付的XML解析存在的安全问题,主要问题是XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。微信官方做了回应,原文地址:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5
如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,需要检查是否对进行了防范。

  • 场景1:支付成功通知
  • 场景2:退款成功通知
  • 场景3:委托代扣签约、解约、扣款通知
  • 场景4:车主解约通知
    场景5:扫码支付模式一回调

微信官方的SDK已经升级,其中相关代码做了防范,如下:

package com.github.wxpay.sdk;

import org.w3c.dom.Document;

import javax.xml.XMLConstants;
import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException;

/**
 * 2018/7/3
 */
public final class WXPayXmlUtil {
    public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
        DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
        documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        documentBuilderFactory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
        documentBuilderFactory.setXIncludeAware(false);
        documentBuilderFactory.setExpandEntityReferences(false);

        return documentBuilderFactory.newDocumentBuilder();
    }

    public static Document newDocument() throws ParserConfigurationException {
        return newDocumentBuilder().newDocument();
    }
}

如果您不是使用官方的SDK,而是自己解析的,可以参考下面的代码:

package com.jianggujin.magicpay.util;

import javax.xml.XMLConstants;
import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException;
import javax.xml.parsers.SAXParser;
import javax.xml.parsers.SAXParserFactory;
import javax.xml.stream.XMLInputFactory;
import javax.xml.transform.TransformerFactory;

import org.w3c.dom.Document;
import org.xml.sax.SAXException;
import org.xml.sax.XMLReader;
import org.xml.sax.helpers.XMLReaderFactory;

/**
 * XML工具
 * 
 * @author jianggujin
 *
 */
public class JXMLUtils {
   private final static String FRATURE_DISALLOW_DOCTYPE_DECL = "http://apache.org/xml/features/disallow-doctype-decl";
   private final static String FRATURE_EXTERNAL_GENERAL_ENTITIES = "http://xml.org/sax/features/external-general-entities";
   private final static String FRATURE_EXTERNAL_PARAMETER_ENTITIES = "http://xml.org/sax/features/external-parameter-entities";
   private final static String FRATURE_LOAD_EXTERNAL_DTD = "http://apache.org/xml/features/nonvalidating/load-external-dtd";

   public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
      DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
      documentBuilderFactory.setFeature(FRATURE_DISALLOW_DOCTYPE_DECL, true);
      documentBuilderFactory.setFeature(FRATURE_EXTERNAL_GENERAL_ENTITIES, false);
      documentBuilderFactory.setFeature(FRATURE_EXTERNAL_PARAMETER_ENTITIES, false);
      documentBuilderFactory.setFeature(FRATURE_LOAD_EXTERNAL_DTD, false);
      // documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING,
      // true);
      documentBuilderFactory.setXIncludeAware(false);
      documentBuilderFactory.setExpandEntityReferences(false);
      return documentBuilderFactory.newDocumentBuilder();
   }

   public static Document newDocument() throws ParserConfigurationException {
      return newDocumentBuilder().newDocument();
   }

   public static SAXParserFactory newSAXParserFactory() throws ParserConfigurationException, SAXException {
      SAXParserFactory saxParserFactory = SAXParserFactory.newInstance();
      saxParserFactory.setFeature(FRATURE_EXTERNAL_GENERAL_ENTITIES, false);
      saxParserFactory.setFeature(FRATURE_EXTERNAL_PARAMETER_ENTITIES, false);
      saxParserFactory.setFeature(FRATURE_LOAD_EXTERNAL_DTD, false);
      return saxParserFactory;
   }

   public static SAXParser newSAXParser() throws ParserConfigurationException, SAXException {
      return newSAXParserFactory().newSAXParser();
   }

   public static XMLReader newXMLReader() throws SAXException {
      XMLReader reader = XMLReaderFactory.createXMLReader();
      reader.setFeature(FRATURE_DISALLOW_DOCTYPE_DECL, true);
      // This may not be strictly required as DTDs shouldn't be allowed at all,
      // per previous line.
      reader.setFeature(FRATURE_LOAD_EXTERNAL_DTD, false);
      reader.setFeature(FRATURE_EXTERNAL_GENERAL_ENTITIES, false);
      reader.setFeature(FRATURE_EXTERNAL_PARAMETER_ENTITIES, false);
      return reader;
   }

   public static TransformerFactory newTransformerFactory() {
      TransformerFactory transformerFactory = TransformerFactory.newInstance();
      transformerFactory.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
      transformerFactory.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");
      return transformerFactory;
   }

   public static XMLInputFactory newXMLInputFactory() {
      XMLInputFactory xmlInputFactory = XMLInputFactory.newInstance();
      // This disables DTDs entirely for that factory
      xmlInputFactory.setProperty(XMLInputFactory.SUPPORT_DTD, false);
      // disable external entities
      xmlInputFactory.setProperty("javax.xml.stream.isSupportingExternalEntities", false);
      return xmlInputFactory;
   }
}

dom4j

saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
saxReader.setFeature("http://xml.org/sax/features/external-general-entities", false);
saxReader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

jdom

SAXBuilder builder = new SAXBuilder();
builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
builder.setFeature("http://xml.org/sax/features/external-general-entities", false);
builder.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
Document doc = builder.build(new File(fileName));

更多解决方案请参考:https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#C.2FC.2B.2B

蒋固金
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
XML解析安全配置
loongshawn的博客
08-03 2907
背景说明 应用工程使用XML解析器解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件中的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。 通过配置XML解析器,禁止加载外部实体。 SAXReader解析器 public static...
php微信支付xml数据异常,微信支付接口存在XML漏洞
weixin_35936248的博客
03-18 481
近日,网上爆出了微信支付官方SDK(软件工具开发包)存在严重的漏洞,确认该漏洞影响JAVA版本的SDK,可导致商家服务器被入侵(绕过支付的效果)。值得重视的是,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西,明显是微信支付的大漏洞!影响范围巨大,建议用到JAVA SDK的商户快速检查并修复。如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况...
常见的xml实体解析导致的安全风险有哪些_软件源码安全攻防之道(下)
weixin_39811166的博客
11-02 3239
点击“蓝字”关注我们吧上次咱们讲完了源码安全漏洞利用常见的几个姿势,本文接着来对对应的防御技术进行说明。改一个漏洞一般会比较简单,但是如何通过安全编程来避免一类某种类型的漏洞出现就会比较麻烦。其实,防御的原则相对比较好总结,主要就一个字“控”:控输入、控过程、控输出。“控”字做好了,防御也就可以随之构建起来。●源码安全漏洞的防守之道●01把好入口关,输入严校验这里的输入是相对的,取决于...
javax.xml.parsers.ParserConfigurationException异常的正确解决方法,亲测有效,嘿嘿嘿
最新发布
PythonAigc的博客
05-05 1921
`javax.xml.parsers.ParserConfigurationException` 异常通常在尝试创建或配置 XML 解析器(如 `DocumentBuilderFactory` 或 `SAXParserFactory`)时抛出。这个异常可能由多种原因引起,通常与 XML 解析器的配置或环境设置有关。 ### 报错原因 `ParserConfigurationException` 的常见原因包括: 1. **解析器工厂配置错误**:可能尝试设置了一个不受支持的属性或属性值。 2. **安
Java XML漏洞解决方案
我要MEANING
07-23 2467
1:SAXReader添加 SAXReader saxReader = new SAXReader(false); saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); saxReader.setFeature("http://xml.org/sax/features/external...
JAVAWEB代码审计技巧方法
weixin_41872749的博客
07-27 1020
JAVA代码审计技巧方法 在JAVA WEB代码审计中,首先要做的就是确定项目的依赖库组织形式,其次就是确定项目所使用的框架。 1.依赖库组织形式确定。组织形式一般有两类,maven与lib文件夹的依赖形式。maven组织形式必然存在pom.xml配置文件,该配置文件中标识了项目中所使用到的各类框架以及工具集,名称与版本。lib组织形式一般在src\main\webapp\WEB-INF\lib下存在大量jar包,其命名方式未库名+版本号形式。 **2.**项目所使用的框架确定。 如果是maven组织形式,
exomler:用于Erlang的快速XML解析
02-06
Exomler是一个专门为Erlang设计的高效XML解析器,旨在提供快速且内存效率高的XML处理能力。在Erlang这种并发性能极佳的编程语言中,Exomler的出现为开发者提供了处理XML数据的强大工具。 XML(Extensible Markup ...
Xerces C、C++、JavaXML解析
08-20
Xerces C++是该项目的一个组成部分,它是一个用C++编写的XML解析器,具有以下特点: 1. **标准兼容性**:Xerces C++遵循W3C制定的XML 1.0和XML Schema规范,确保了对XML文档的解析符合国际标准。 2. **高性能**:...
XHTML1.0与HTML兼容指引16条 小结
12-14
4. **外部引用CSS和JavaScript**:当`style`和`script`内容包含`, `&`, `]]>`或连续的破折号`--`时,推荐使用外部文件引入,以避免解析问题。 5. **属性值的规范**:避免在元素属性值中出现断行或多个空格,保持...
正则指引 完整带书签
12-25
9. **高级应用**:如正则表达式在URL解析、电子邮件验证、XML/HTML处理等方面的应用。 10. **实践与调试**:提供实际案例和调试技巧,帮助读者将理论知识应用于实践中。 这本书的“完整带书签”版本意味着在PDF文...
MTK android xml 字符转化为 xls
12-02
1. **XML解析**:能够读取Android项目中的`res/values/strings.xml`文件,解析出所有的字符串资源。 2. **格式转换**:将解析出来的字符串及其对应的键(key)转换成XLS表格格式,每一行包含一个键值对,键作为列头...
java解析xml及4种常用解析比较
02-16
1. 介绍 1)DOM(JAXP Crimson解析器) DOM是用与平台和语言无关的方式表示XML文档的官方W3C标准。DOM是以层次结构组织的节点或信息片断的集合。这个层次结构允许开发人员在树中寻找特定信息。分析该结构通常需要加载整个文档和构造层次结构,然后才能做任何工作。由于它是基于信息层次的,因而DOM被认为是基于树或基于对象的。DOM以及广义的基于树的处理具有几个优点。首先,由于树在内存中是持久的,因此可以修改它以便应用程序能对数据和结构作出更改。它还可以在任何时候在树中上下导航,而不是像SAX那样是一次性的处理。DOM使用起来也要简单得多。 2)SAX SAX处理的优点非常类似于流媒体的优点。分析能够立即开始,而不是等待所有的数据被处理。而且,由于应用程序只是在读取数据时检查数据,因此不需要将数据存储在内存中。这对于大型文档来说是个巨大的优点。事实上,应用程序甚至不必解析整个文档;它可以在某个条件得到满足时停止解析。一般来说,SAX还比它的替代者DOM快许多。 选择DOM还是选择SAX? 对于需要自己编写代码来处理XML文档的开发人员来说, 选择DOM还是SAX解析模型是一个非常重要的设计决策。 DOM采用建立树形结构的方式访问XML文档,而SAX采用的事件模型。 DOM解析器把XML文档转化为一个包含其内容的树,并可以对树进行遍历。用DOM解析模型的优点是编程容易,开发人员只需要调用建树的指令,然后利用navigation APIs访问所需的树节点来完成任务。可以很容易的添加和修改树中的元素。然而由于使用DOM解析器的时候需要处理整个XML文档,所以对性能和内存的要求比较高,尤其是遇到很大的XML文件的时候。由于它的遍历能力,DOM解析器常用于XML文档需要频繁的改变的服务中。 SAX解析器采用了基于事件的模型,它在解析XML文档的时候可以触发一系列的事件,当发现给定的tag的时候,它可以激活一个回调方法,告诉该方法制定的标签已经找到。SAX对内存的要求通常会比较低,因为它让开发人员自己来决定所要处理的tag.特别是当开发人员只需要处理文档中所包含的部分数据时,SAX这种扩展能力得到了更好的体现。但用SAX解析器的时候编码工作会比较困难,而且很难同时访问同一个文档中的多处不同数据。 3)JDOM http://www.jdom.org JDOM的目的是成为Java特定文档模型,它简化与XML的交互并且比使用DOM实现更快。由于是第一个Java特定模型,JDOM一直得到大力推广和促进。正在考虑通过“Java规范请求JSR-102”将它最终用作“Java标准扩展”。从2000年初就已经开始了JDOM开发。 JDOM与DOM主要有两方面不同。首先,JDOM仅使用具体类而不使用接口。这在某些方面简化了API,但是也限制了灵活性。第二,API大量使用了Collections类,简化了那些已经熟悉这些类的Java开发者的使用。 JDOM文档声明其目的是“使用20%(或更少)的精力解决80%(或更多)Java/XML问题”(根据学习曲线假定为20%)。JDOM对于大多数Java/XML应用程序来说当然是有用的,并且大多数开发者发现API比DOM容易理解得多。JDOM还包括对程序行为的相当广泛检查以防止用户做任何在XML中无意义的事。然而,它仍需要您充分理解XML以便做一些超出基本的工作(或者甚至理解某些情况下的错误)。这也许是比学习DOM或JDOM接口都更有意义的工作。
XML解析
m0_73192864的博客
06-19 2668
XML文档转换为计算机程序可读取的格式的过程。XML文档中的元素、属性、实体等都需要被解析成程序能够理解的形式,以便程序能够对其进行处理和操作。1.2 解析方式(四种)1.2.1 DOM解析:DOM(文档对象模型)解析器将整个XML文档读入内存,并创建一个文档树,程序可以遍历该文档树并操作其中的节点。DOM解析器适用于文档相对较小的情况。
SAE项目报错Provider for javax.xml.parsers.DocumentBuilderFactory cannot be found的解决方
utopialxw的专栏
10-29 2427
web项目部署到SAE,启动报错 nested exception is javax.xml.parsers.FactoryConfigurationError:  Provider for javax.xml.parsers.DocumentBuilderFactory cannot be found 删除/xml-apis*.jar可解决!网上都说增加 seXXX.jar包,增加只会报...
java 使用代码操作xml文件 DocumentBuilderFactory DocumentBuilder
qq_45667636的博客
07-13 763
Java 操作xml 增删改查
常见xml的三种解析方式的区别
mijiaxiaojiu的博客
07-05 2674
常见的xml解析有三种方式 SAX解析XML文件          优点:解析快速,占用内存少 解析方式:采用事件驱动的解析方式,就是说先判断是否符合xml的语法格式,是,那就开始按照内容顺序解析 DOM解析XML文件          优点;使用DOM解析xml代码看起来较为直观,在某些方面比基于SAX的实现更为简单          缺点:消耗内存大,对于Android的移动设备都
微信支付XML解析存在安全问题(XXE)--备忘录
木辰風的博客
07-05 1378
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。此漏洞可导致商家服务器被入侵,获得关键安全密钥后,骇客即可肆意买买买而不需要付一分钱。而这个问题主要存在JAVA版本SDK中的实现存在一个xxe漏洞,攻击者可以向URL构建恶意payload,根据...
easyexcel使用指引
09-07
```xml <groupId>com.alibaba</groupId> <artifactId>easyexcel <version>2.3.0 ``` Gradle: ```groovy compile 'com.alibaba:easyexcel:2.3.0' ``` 2. 创建一个实体类来表示 Excel 文件中的每一行数据。你...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值