XXE代码审计以及XXE漏洞修复

最新推荐文章于 2024-09-04 12:45:54 发布
最新推荐文章于 2024-09-04 12:45:54 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 常见漏洞 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingzhantianxia/article/details/113281541
版权

java XXE代码审计

java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式

使用DOM解析XML

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {      
        String result="";
        try {
            //DOM Read XML
            DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();     
            DocumentBuilder db = dbf.newDocumentBuilder();                  
            Document doc = db.parse(request.getInputStream());

            String username = getValueByTagName(doc,"username");
            String password = getValueByTagName(doc,"password");
            if(username.equals(USERNAME) && password.equals(PASSWORD)){
                result = String.format("<result><code>%d</code><msg>%s</msg></result>",1,username);
            }else{
                result = String.format("<result><code>%d</code><msg>%s</msg></result>",0,username);
            }
        } catch (ParserConfigurationException e) {
            e.printStackTrace();
            result = String.format("<result><code>%d</code><msg>%s</msg></result>",3,e.getMessage());
        } catch (SAXException e) {
            e.printStackTrace();
            result = String.format("<result><code>%d</code><msg>%s</msg></result>",3,e.getMessage());
        }
        response.setContentType("text/xml;charset=UTF-8");
        response.getWriter().append(result);
    }

使用DOM读取xml时候正确的设置,重点在于
DocumentBuilder builder = dbf.newDocumentBuilder();这句话应当防止在设置语句之后才能够生效

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
String FEATURE = null;
FEATURE = "http://javax..XMLConstants/feature/secure-processing";
dbf.setFeature(FEATURE, true);
FEATURE = "http://apache.org//features/disallow-doctype-decl";
dbf.setFeature(FEATURE, true);
FEATURE = "http://.org/sax/features/external-parameter-entities";
dbf.setFeature(FEATURE, false);
FEATURE = "http://.org/sax/features/external-general-entities";
dbf.setFeature(FEATURE, false);
FEATURE = "http://apache.org//features/nonvalidating/load-external-dtd";
dbf.setFeature(FEATURE, false);
dbf.setXIncludeAware(false);
dbf.setExpandEntityReferences(false);
DocumentBuilder builder = dbf.newDocumentBuilder();
// 读取文件内容
FileInputStream fis = new FileInputStream("path/to/xxe");
InputSource is = new InputSource(fis);
Document doc = builder.parse(is);

使用DOM4J解析xml

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {          
        String result="";
        try {
            //DOM4J Read XML
            SAXReader saxReader = new SAXReader();
            Document document = saxReader.read(request.getInputStream());

            String username = getValueByTagName2(document,"username");
            String password = getValueByTagName2(document,"password");

            if(username.equals(USERNAME) && password.equals(PASSWORD)){
                result = String.format("<result><code>%d</code><msg>%s</msg></result>",1,username);
            }else{
                result = String.format("<result><code>%d</code><msg>%s</msg></result>",0,username);
            }                

        } catch (DocumentException  e) {
            System.out.println(e.getMessage());
        } 
        response.setContentType("text/xml;charset=UTF-8");
        response.getWriter().append(result);
    }

正确设置应当是

XMLReader reader = XMLReaderFactory.createXMLReader();
reader.setFeature("http://apache.org//features/disallow-doctype-decl", true);
reader.setFeature("http://apache.org//features/nonvalidating/load-external-dtd", false);
reader.setFeature("http://.org/sax/features/external-general-entities", false);
reader.setFeature("http://.org/sax/features/external-parameter-entities", false);
reader.parse(new InputSource(InputSource));

使用JDOM解析xml

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {             
        String result="";
        try {
            //JDOM2 Read XML    
            SAXBuilder builder = new SAXBuilder();  
            Document document = builder.build(request.getInputStream());

            String username = getValueByTagName3(document,"username");
            String password = getValueByTagName3(document,"password");

            if(username.equals(USERNAME) && password.equals(PASSWORD)){
                result = String.format("<result><code>%d</code><msg>%s</msg></result>",1,username);
            }else{
                result = String.format("<result><code>%d</code><msg>%s</msg></result>",0,username);
            }

        } catch (JDOMException  e) {
            System.out.println(e.getMessage());
        } 
        response.setContentType("text/xml;charset=UTF-8");
        response.getWriter().append(result);
    }

使用JDOM解析时的正确设置应当是

第一种
SAXBuilder builder = new SAXBuilder(true);
Document doc = builder.build(InputSource);

第二种
SAXBuilder builder = new SAXBuilder();
builder.setFeature("http://apache.org//features/disallow-doctype-decl", true);
builder.setFeature("http://.org/sax/features/external-general-entities", false);
builder.setFeature("http://.org/sax/features/external-parameter-entities", false);
builder.setFeature("http://apache.org//features/nonvalidating/load-external-dtd", false);
Document doc = builder.build(InputSource)

使用SAX 解析xml

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {      
        //https://blog.csdn.net/u011024652/article/details/51516220
        String result="";
        try {
            //SAX Read XML
            SAXParserFactory factory  = SAXParserFactory.newInstance(); 
            SAXParser saxparser = factory.newSAXParser();  
            SAXHandler handler = new SAXHandler();  
            saxparser.parse(request.getInputStream(), handler);
            //为简单,没有提取子元素中的数据,只要调用parse()解析xml就已经触发xxe漏洞了
            //没有回显  blind xxe
             result = String.format("<result><code>%d</code><msg>%s</msg></result>",0,1);

        } catch (ParserConfigurationException e) {
            e.printStackTrace();
            result = String.format("<result><code>%d</code><msg>%s</msg></result>",3,e.getMessage());
        } catch (SAXException e) {
            e.printStackTrace();
            result = String.format("<result><code>%d</code><msg>%s</msg></result>",3,e.getMessage());
        }
        response.setContentType("text/xml;charset=UTF-8");
        response.getWriter().append(result);
    }

正确设置应当是

SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setFeature("http://apache.org//features/disallow-doctype-decl", true);
spf.setFeature("http://.org/sax/features/external-general-entities", false);
spf.setFeature("http://.org/sax/features/external-parameter-entities", false);
spf.setFeature("http://apache.org//features/nonvalidating/load-external-dtd", false);
SAXParser parser = spf.newSAXParser();
parser.parse(InputSource, (HandlerBase) null);

参考

更多xml解析类正确设置修复可以参考:https://www.redhatzone.com/ask/article/1535.html;
更多xml解析具体操作可参考:http://www.51gjie.com/java/738.html;
https://xz.aliyun.com/t/2761

php 代码审计

XXE漏洞于php版本无关,主要是libxml的拓展。2.9以后默认不使用外部实体,导致php的xxe几乎消亡。

SimpleXMLElement

<?php
$data = file_get_contents('php://input');
$xml = new SimpleXMLElement($data);

echo $xml->name;
?>

DOMDocument

<?php
$data = file_get_contents('php://input');
$dom = new DOMDocument();
$dom->loadXML($data);

print_r($dom);
?>

simplexml_load_string

<?php
$data = file_get_contents('php://input');
$xml = simplexml_load_string($data);

echo $xml->name;
?>

修复方法

libxml_disable_entity_loader(ture)设置为ture时则禁止加载外部实体,设置为flase时允许加载外部实体;

参考

http://www.codesec.top/archives/PHPXXEAudit
https://www.cnblogs.com/Rightsec/p/10263454.html

烟雨醉沉浮
关注
专栏目录
【Java代码审计XXE漏洞
大河之犬的博客
04-02 1344
XXE 漏洞的原理主要是利用了 XML 解析器的实体引用特性。在 XML 中,可以使用实体引用来引用外部的实体,例如文件,以便在 XML 文档中重用内容。然而,如果 XML 解析器未经适当配置,可能会导致外部实体的任意读取和执行,从而引发安全漏洞。攻击者可以构造恶意的 XML 文件,其中包含对外部实体的引用,并通过将这个 XML 文件提交给目标应用程序来触发漏洞。当目标应用程序解析这个 XML 文件时,解析器会尝试读取和解析外部实体,从而使得攻击者能够访问本地或远程系统上的文件,并执行相关操作。
Java代码审计XXE漏洞详解
悦分享
01-24 113
除此之外,XML文档中还规定了一系列定义好的“字符引用”,使用特殊的字母组合来表示某些特殊字符,如“
XXE漏洞 解决方案(JAVA版本)
goldDaNiu的博客
07-05 9412
/**      * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。      * @param strxml      * @return      * @throws JDOMException      * @throws IOException      */      public static Map doXMLParse(String...
XXE原理,利用与修复详解
GalaxySpaceX的博客
07-20 1362
XXE原理+利用+修复
代码审计总结
最新发布
lza20001103的博客
09-04 1757
代码审计总结
XXE修复方案参考
oscarli的博客
07-05 2602
XXE不同的库修复代码,略有差别,但都是通过: 1、禁止加载外部实体; 2、不允许XML中含有任何自己声明的DTD。可以解决
Xxe漏洞 php,PhpSpreadsheet 1.5.0 XXE漏洞复现及分析
weixin_36337122的博客
03-16 557
0x01 前言PhpSpreadsheet是一个非常流行的纯 PHP 类库,能够让你方便的读写Excel、LibreOffic Calc等表格格式的文件,是PHPExcel的替代者。2018年11月13日,PhpSpreadsheet 被爆出存在XXE漏洞(CVE-2018-19277),在表格的解压文件中插入UTF-7编码的恶意xml payload,可绕过PhpSpreadsheet 库的安...
网络安全之XXE漏洞复现及防御(上篇)(技术进阶)
weixin_70911257的博客
04-16 1488
xxe漏洞复现
细节揭示:XXE漏洞复现步骤及安全防护建议
weixin_43263566的博客
08-31 335
XXE漏洞发生在那些使用XML解析器处理用户提供的XML输入的应用程序中。攻击者通过在用户输入的XML文档中插入恶意的实体引用,来触发XML解析器加载外部实体。这些外部实体可能指向本地文件系统或通过网络访问的远程资源。
[ 代码审计资源 ] vulns.war 包
12-28
[ 代码审计资源 ] vulns.war 包 [ 代码审计篇 ] 代码审计案例详解中讲到的知识点最好还是自己搭建环境实践一下。 详情可以看我的文章:[ 代码审计篇 ] 代码审计案例详解
PHP代码审计中常见的漏洞(一)
武天旭的博客
05-31 1065
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题:
JAVA代码审计之深入XXE漏洞挖掘与防御
道阻且长,行则将至。
12-16 825
原先学习和介绍过 XXE 漏洞的基础知识,但是这对于实战中挖掘此类漏洞还是远远不够的。本文将通过 WebGoat 靶场深入学习 XXE 漏洞利用,并聚焦如何在 Java 源码审计过程中发现 XXE 漏洞,以及从研发人员视角该如何规避此类漏洞
XXE漏洞详解(全网最详细)
qq_61553520的博客
05-09 5499
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入。
Java XML漏洞解决方案
我要MEANING
07-23 2553
1:SAXReader添加 SAXReader saxReader = new SAXReader(false); saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); saxReader.setFeature("http://xml.org/sax/features/external...
windows文件读取 xxe_java xxe漏洞
weixin_39525255的博客
12-22 359
一、XXE漏洞简介1、XXE(XML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。2、Java中的XXE支持sun.net.www.protocol 里的所有协议:http,https,file,ftp,mailto,jar,netdo...
java审计-XXE
admin741admin的博客
04-13 671
XML是一种非常流行的标记语言,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体的引用有内部声明实体和外部引用实体的区别。按类型分则分为:内置实体,字符实体,通用实体,参数实体。而在XXE中最常见的就是通用实体和参数实体。
Web漏洞-XXE漏洞(详细)
Ays.Ie的博客
03-11 5677
该篇描述Web漏洞-XXE漏洞(详细)
关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补
wtbapi的博客
07-06 5790
7月4日微信发来通知说存在XML实体注入漏洞,请修改。由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实...
java中xxe漏洞修复方法
weixin_30245867的博客
02-28 1494
java中禁止外部实体引用的设置方法不止一种,这样就导致有些开发者修复的时候采用的错误的方法 之所以写这篇文章是有原因的!最早是有朋友在群里发了如下一个pdf, 而当时已经是2019年1月末了,应该不是2018年7月份那个引起较大轰动的alipay java sdk的了,我突然虎躯一震,该不是。。。 进去看了一下,果然是我前不久在github给WxJava提的一个cve漏洞(CV...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值