JAXB- XML外部实体注入安全代码漏洞(XXE)

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量1.9k 收藏 4
点赞数 2
分类专栏: XXE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24702263/article/details/106138420
版权

XXE攻击 (XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。

具体的可以看:https://blog.csdn.net/qq_24702263/article/details/106137827

JAXB是什么?

JAXB实现了java对象与xml之间的转换

package com.jaxb;
 
import java.io.FileInputStream;
import java.io.StringReader;
import java.io.StringWriter;
import javax.xml.bind.JAXBContext;
import javax.xml.bind.Marshaller;
import javax.xml.bind.Unmarshaller;
import javax.xml.stream.XMLInputFactory;
import javax.xml.stream.XMLStreamReader;
 
public class TestJaxb {
	//读取文件
	public static String readContent(String file) throws Exception {
		FileInputStream input = new FileInputStream(file);
		byte[] content = new byte[2 * 1024];
		int realBytes = input.read(content);
		input.close();
		return new String(content, 0, realBytes, "UTF-8");
最低0.47元/天 解锁文章
qq_24702263
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAXB 使用线程安全问题
hupy2007的专栏
06-05 1090
JAXB是一个 java bean与xml之间相互转换的非常方便的工具,可以再很大程度上解放我们解析xml的过程。   使用方法: 1、定义全局的context   private static final JAXBContext context = JAXBContext.newInstance(XXXX.class);  2、 xml 转成 javabean Unmarsh...
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 4556
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 1036
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
使用JAXB实现XML转对象导致XXE漏洞防护
路穆里奇
05-29 1306
安全写法,存在漏洞: public static Object convertXmlToObj(Class clazz, String xmlStr)throws Exception { JAXBContext context = JAXBContext.newInstance(clazz); Unmarshaller unmarshaller = context.creat...
XXE外部实体注入漏洞的测试和修复——Java
逆水行舟
07-27 5611
测试过程: 代码检测时发现存在XXE问题,可通过自行改造的xml内容,请求存在XXE问题的接口,测试该漏洞。 比如使用如下xml,通过读取document中 testText这个Element,即可获取到test.json中的文件内容: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE entity [ <!ENTITY file SYSTEM "file:///C:/Users/xxx/Desktop/test.json".
javax.rar(jaxb-impl-2.3.0、jaxb-core-2.3.0、jaxb-api-2.3.0)
07-22
`jaxb-impl-2.3.0.jar`则是JAXB的具体实现,它提供了`jaxb-api`中定义的接口的实现代码,使得开发者可以实际地将XML数据转换为Java对象,或者反之。 `jaxb-core-2.3.0.jar`是JAXB的核心库,它是`jaxb-impl`的依赖,...
jaxb-api-2.3.1-API文档-中文版.zip
04-23
赠送源代码jaxb-api-2.3.1-sources.jar; 赠送Maven依赖信息文件:jaxb-api-2.3.1.pom; 包含翻译后的API文档:jaxb-api-2.3.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:javax.xml.bind:jaxb-api:2.3.1; ...
jaxb-api.jar.jaxws-api.zip_ jaxb-api.jar_cxf_jax-ws.jar_jaxb-api
09-22
**冲突解决** 当使用CXF框架并遇到与JDK 6内置JAXB库的冲突时,可以通过引入外部的`jaxb-api.jar`和`jaxws-api.jar`来解决。这两个jar文件提供了与CXF兼容的JAXB和JAX-WS实现,避免了与系统默认库的冲突。 **...
jackson-module-jaxb-annotations-2.2.3-API文档-中文版.zip
07-13
赠送源代码:jackson-module-jaxb-annotations-2.2.3-sources.jar; 赠送Maven依赖信息文件:jackson-module-jaxb-annotations-2.2.3.pom; 包含翻译后的API文档:jackson-module-jaxb-annotations-2.2.3-javadoc-...
jackson-module-jaxb-annotations-2.7.8-API文档-中英对照版.zip
06-19
赠送源代码:jackson-module-jaxb-annotations-2.7.8-sources.jar; 赠送Maven依赖信息文件:jackson-module-jaxb-annotations-2.7.8.pom; 包含翻译后的API文档:jackson-module-jaxb-annotations-2.7.8-javadoc-...
JAXB血案之 XML外部实体注入漏洞(XXE)
weixin_47397751的博客
01-12 1160
1.漏洞描述 XML外部实体注入漏洞,即XXEXML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 2.JAXB是什么? JAXB实现了java对象与xml之间的转换,使用的注解主要有: (1)@XmlRootElement:用于类级别的注释,对应XML的根节点。参数: name 定义这个根节点的名称 namespace 定义这个根节点命名空间 (2)
JAVA常见的XXE漏洞写法和防御
表弟的博客
08-28 2113
JAVA常见的XXE漏洞写法和防御 貌似最近经常看到有Java项目爆出XXE漏洞并且带有CVE,包括Spring-data-XMLBean XXE漏洞、JavaMelody组件XXE漏洞解析、Apache OFBiz漏洞。微信支付SDK的XXE漏洞。本质上xxe漏洞都是因为对xml解析时允许引用外部实体,从而导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。...
Xml解析校验引起的依赖问题
放翁(文初)的一亩三分地
04-06 3382
        假期结束,开始收心回来继续工作。晚上有一个项目要发布,公司的同事突然打手机给我,说ASF的文件解析又出了上次的问题,希望尽快解决。 问题描述: 上一次问题:多台机器运行同一个分支的应用,但是有些机器正常,有一台机器始终在启动的时候报文件解析错误,从提示看来,主要是因为解析配置文件的时候校验dtd失效,这台机器无法连接外网。最后降低了我们内部的核心解析包,问题
Xml 序列化与反序列化 xml转换成对象 对象转xml
daijianzhou的专栏
08-07 258
package com.djz.tools.xml; import javax.xml.bind.JAXBContext; import javax.xml.bind.JAXBException; import javax.xml.bind.Marshaller; import javax.xml.bind.Unmarshaller; import java.io.Reader; import java.io.StringReader; import java.io.StringWriter; publ
XStream反序列化漏洞分析二
weixin_44825990的博客
12-13 709
XStream反序列化流程及CVE-2020-26217漏洞分析
java xml实体之间的转换(附有XXE漏洞解决方案)
lqr666的博客
01-09 1584
javaBean与xml之间相互转换(附有XXE漏洞解决方案)
java代码审计手书(二)
一个码农的笔记
11-21 5078
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 xml解析导致xxe漏洞 漏洞特征:XXE_XMLSTREAMREADER 当xml解析程序收到不信任的输入且如果xml解析程序支持外部实体解析的时候,那么造成xml实体解析攻击(xxe) 危害1:探测本地文件内容(xxexml 外部实体) &lt;?xml version="1.0" enco...
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值