XML解析器安全配置

最新推荐文章于 2024-07-08 15:09:47 发布
最新推荐文章于 2024-07-08 15:09:47 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: JAVA 文章标签: xml解析安全问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loongshawn/article/details/81388832
版权
本文介绍了XML解析器存在的安全问题,特别是外部实体可能导致的未授权文件访问和拒绝服务攻击。针对此风险,提供了SAXReader和SAXBuilder解析器的安全配置示例,通过禁用外部实体加载来防止XXE攻击。建议其他XML解析器使用者参照官方文档进行相似的配置以增强安全性。
摘要由CSDN通过智能技术生成

背景说明

应用工程使用XML解析器解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件中的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。

通过配置XML解析器,禁止加载外部实体。

SAXReader解析器

public static String DDD= “http://apache.org/xml/features/disallow-doctype-decl“;
SAXReader reader = new SAXReader();
reader.setFeature(DDD,true);
reader.setFeature(“http://xml.org/sax/features/external-general-entities“, false);
reader.setFeature(“http://xml.org/sax/features/external-parameter-entities“, false);
Document doc = reader.read(in);

SAXBuilder解析器

SAXBuilder sb

最低0.47元/天 解锁文章
loongshawn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XML解析配置文件
IJump_的博客
06-01 485
XML 1.XML的作业 1.1 配置 (*.XML 和 *.propertines) 1.2 数据的交互(获取第三方数据) 2.JAVA中的3种配置位置 2.1 如何使用Propertines读取配置文件 ① *.propertines 文件以键值对的方式存储数据 ② 使用Propertines类读取配置文件 2.2 配置位置 ① 存放于根目录下,/代表获取src根目录的绝对路径 ...
浅谈几款XML文档解析工具以及优缺点
Wewe的博客
04-17 1809
<name>博客网站</name><desc>技术学习网站</desc>
Java XML漏洞解决方案
我要MEANING
07-23 2493
1:SAXReader添加 SAXReader saxReader = new SAXReader(false); saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); saxReader.setFeature("http://xml.org/sax/features/external...
提供xml外部实体注入攻击的详细解说
最新发布
qq_38140936的博客
07-08 883
常见的支持xinclude特性的xml解析都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。常见的支持xinclude特性的xml解析都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。如果程序中不对解析实体做限制的话,可以通过少量的DTD定义,实现海量大小的解析结果的效果,会大量占用服务的处理、存储。通过构造特定格式的xml文档,读取服务上指定文件的内容,达到敏感信息获取的目的。
解决方案(二)— 将 "http://apache.org/xml/features/disallow-doctype-decl" 设置为“true”时, 不允许使用 DOCTYPE
热门推荐
洛丹伦的夏天
04-14 2万+
注意:该异常发生也可以是其他XML解析,这里以XStream为例。 使用XStream解析xml文件的时候抛出异常: org.xml.sax.SAXParseException;将功能 “http://apache.org/xml/features/disallow-doctype-decl” 设置为“真”时, 不允许使用 DOCTYPE。 Caused by: org.xml....
常见的xml实体解析导致的安全风险有哪些_软件源码安全攻防之道(下)
weixin_39811166的博客
11-02 3260
点击“蓝字”关注我们吧上次咱们讲完了源码安全漏洞利用常见的几个姿势,本文接着来对对应的防御技术进行说明。改一个漏洞一般会比较简单,但是如何通过安全编程来避免一类某种类型的漏洞出现就会比较麻烦。其实,防御的原则相对比较好总结,主要就一个字“控”:控输入、控过程、控输出。“控”字做好了,防御也就可以随之构建起来。●源码安全漏洞的防守之道●01把好入口关,输入严校验这里的输入是相对的,取决于...
web安全--Xml外部实体注入漏洞(XXE)与防护
fabao007的专栏
05-02 1378
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
groovy操作xml,获取属性值和标签值并修改
LjingDong的博客
01-11 5719
groovy操作xml,获取属性值和标签值,并将其修改 一、用groovy操作xml,修改xml的值 由于我操作的是plist文件,其中会有IOS的dtd对xml验证,解析的时候会报错,如下: org.xml.sax.SAXParseException; systemId: file:///Users/guoyf/Desktop/Info.plist; lineNumber: 2; col...
禁用XXE处理漫谈
蚁景网安学院
03-10 640
近期准备面试题时,XXE漏洞防范措施(或者说修复方式)在一些文章中比较简略,故本文根据研究进行总结,作为技术漫谈罢了。XXE(XML外部实体注入),程序解析XML数据时候,同时解析了攻击者伪造的外部实体。XML用途是为了跨平台语言传输数据,常常用于WEB开发等。
微信支付回调XXL注入
碎片整理
01-24 689
测试方式 给支付回调发送以下数据 &amp;lt;?xml version=&quot;1.0&quot; encoding=&quot;utf-8&quot;?&amp;gt; &amp;lt;!DOCTYPE Anything [ &amp;lt;!ENTITY entityex SYSTEM &quot;你本地另一个域名&quot;&amp;gt; ]&amp;gt; &amp;lt;a
SAX
中庸之道
08-31 442
SAX(Simple API for XML)由XML-DEV邮件列表成员开发,目前版本2.0.x,民间标准.http://www.saxproject.org/ SAX是一种基于事件驱动的API。利用SAX解析XML文档牵涉到两个部分:解析器和事件处理解析器负责读取XML文档,并向事件处理发送事件,如元素开始跟元素结束事件;而事件处理则负责对事件作出相应,对传递的XML数据进行处理...
XML解析 Xerces
06-06
Xerces是Apache软件基金会开发的一个开源的XML解析,它提供了全面的XML标准实现,包括XML 1.0、XML 1.1、XPath、XSLT、XInclude、XML Schema以及DOM等。Xerces-C++是Xerces的主要实现,它是用C++编写的,因此可以...
JAVA XML 解析
05-14
还可以配置解析器,例如禁用DTD解析以提升速度,或者启用验证以增强安全性。 总结来说,Java提供了一系列API来处理XML,包括DOM、SAX、StAX和JAXB,每种都有其适用场景和优缺点。理解这些解析方式的原理和使用方法...
xml解析(解决XML错误)
09-25
XML(eXtensible Markup ...这个压缩包提供的MSXML组件和安全更新,旨在提供一个稳定、安全的环境来处理XML文档,无论你是XML初学者还是经验丰富的开发者,都应该掌握XML解析的使用,以提高工作效率和代码质量。
xml解析6666
11-14
"xml解析6666"显然是一个强调其高效性能的XML解析XML解析主要分为两种类型:DOM(Document Object Model)解析器和SAX(Simple API for XML解析器。DOM解析器将整个XML文档加载到内存中,形成一棵树形...
XML.rar_XML phone_XML 解析
09-14
以Android为例,使用XML解析XML文件时,可以利用内置的`org.xmlpull.v1.XmlPullParser`进行SAX解析,或者使用`javax.xml.parsers.DocumentBuilderFactory`创建DOM解析器。开发者可以根据需求和性能考虑选择合适的...
[实践总结] java XML解析防止外部实体注入
张紫娃的博客
01-06 906
【代码】[实践总结] java XML解析防止外部实体注入。
深入解析J2EE web.xml配置
- 过滤可以拦截请求和响应,执行预处理或后处理任务,如日志记录、安全检查等。 - 监听可以监听Servlet上下文、请求、会话等事件,实现特定功能,如自动登录、定时任务等。 6. **可移植性** - 遵守标准的web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值