问题记录:XStream ForbiddenClassException 异常

已于 2022-07-19 01:57:39 修改
阅读量4.2k 收藏 8
点赞数 6
分类专栏: 问题记录 文章标签: java xml
于 2022-07-06 22:48:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35316141/article/details/125649268
版权

问题记录

XStream

ForbiddenClassException

今天,笔者在工作中遇到了一个解析XML的异常:

com.thoughtworks.xstream.security.ForbiddenClassException: xxx.xxx.xxx.xxx
	at com.thoughtworks.xstream.security.NoTypePermission.allows(NoTypePermission.java:26)
	at com.thoughtworks.xstream.mapper.SecurityMapper.realClass(SecurityMapper.java:74)
	at com.thoughtworks.xstream.mapper.MapperWrapper.realClass(MapperWrapper.java:125)
	at com.thoughtworks.xstream.mapper.CachingMapper.realClass(CachingMapper.java:47)
	at com.thoughtworks.xstream.core.util.HierarchicalStreams.readClassType(HierarchicalStreams.java:29)
	at com.thoughtworks.xstream.core.TreeUnmarshaller.start(TreeUnmarshaller.java:135)
	at com.thoughtworks.xstream.core.AbstractTreeMarshallingStrategy.unmarshal(AbstractTreeMarshallingStrategy.java:32)
	at com.thoughtworks.xstream.XStream.unmarshal(XStream.java:1421)
	at com.thoughtworks.xstream.XStream.unmarshal(XStream.java:1399)
	at com.thoughtworks.xstream.XStream.fromXML(XStream.java:1284)
	at com.thoughtworks.xstream.XStream.fromXML(XStream.java:1275)

有同事在解决组件漏洞的问题,可能是相关同事修改了XStream的版本。

排查GIT提交记录,Xstream版本由1.4.17升级到了1.4.19。异常信息中,看到了熟悉的security,鉴权问题。

本地版本回退至1.4.17,XML解析正常,但是笔者注意到了一个之前忽略的警告:

Security framework of XStream not explicitly initialized, using predefined black list on your own risk.

大概意思就是没有初始化XStream的安全组件,默认使用了一个。

查看XStream的版本维护文档:

http://x-stream.github.io/changes.html

在这里插入图片描述

在1.4.18的更新记录里,有这么两段话,大概意思就是,新版本的XStream默认使用了一个白名单的东西,用户必须初始化这个白名单,否则反序列化操作会失败。

于是笔者尝试将本地1.4.17版本更新至1.4.18,不出所料,仍然是ForbiddenClassException,于是准备修改方案。

参考工具:XStream官方文档,路径:

http://x-stream.github.io/javadoc/index.html

在XStream类中,查询到关于添加鉴权的方法:

在这里插入图片描述

排查到,allowTypes方法,支持根据类型、类名等参数添加权限。

修改后的代码(demo):

		/**
     * xml -> javaBean
     * @param xml
     * @param node
     * @return
     */
    public static Object simpleXmlToObject(String xml, Object... node) {
        Object obj = null;
        try {
            XStream xStream = new XStream(new DomDriver());
            for (int i = 0; i < node.length; i++) {
                Object objTemp = node[i];
                xStream.alias(objTemp.getClass().getSimpleName(), objTemp.getClass());
              	// 新增这一行,根据类型添加安全权限
                xStream.allowTypes(new Class[]{objTemp.getClass()});
            }
            obj = xStream.fromXML(xml);
        } catch (Exception e) {
            e.printStackTrace();
            throw e;
        }
        return obj;
    }

测试代码:

@Data
public class User {

    private String userId;

    private String userName;


    public static void main (String[] args) {

        String str = "<User>\n" +
                    "    <userId>1</userId>\n" +
                    "    <userName>张三</userName>\n" +
                    "</User>";

        final User user = (User)XStreamUtils.simpleXmlToObject(str, new User());

        System.out.println(user.getUserId());

        System.out.println(user.getUserName());

    }
}

sout输出:

1
张三

笔者会持续更新工作中遇到的问题以及解决方案。

好记性不如烂笔头。

愿与诸君共勉。

低卡
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Xstream:Xstream研究
04-07
**Xstream: 深入理解Xstream框架** Xstream是一个用Java编写的开源库,主要用于将Java对象序列化为XML,以及从XML反序列化回Java对象。它以其简单易用、高度可配置和安全的特性,在Java开发中广受欢迎。在本文中,...
xstream1.4.18升级报错
weixin_44754118的博客
05-23 1547
xstream 升级1.4.18 报错
Xstream ClassCastException ForbiddenClassException 同一个类转换异常
Feel Word
11-07 6418
Xstream 1.java.lang.ClassCastException 最近在一个springboot项目中使用Xstream,将xml文件读取通过注解的方式转换成java实体类,报错java.lang.ClassCastException,找了很久的原因,在这里感谢这位博主转载自 错误: java.lang.ClassCastException: com.jt.bean.xml...
XStream问题合集(升级版本,字段缺失)
最新发布
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
06-07 497
了解具体用法的可以借鉴这篇文章xstream运用,JAVA对象转xmlxmlJAVA对象-CSDN博客目录升级问题异常报错信息1com.thoughtworks.xstream.security.ForbiddenClassException解决方法需要降低限制权限异常报错信息2com.thoughtworks.xstream.converters.reflection.AbstractReflectionConverter$UnknownFieldException: No such field解决方
XStream反序列化漏洞(cve-2020-26258/cve-2020-26259)
chaojixiaojingang
12-17 3581
1.漏洞描述 XStream是一个常用的Java对象和XML相互转换的工具。在运行XSteam的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成任意文件删除/服务端请求伪造(SSRF) 。 2.影响版本 XStream <= 1.4.14 3.漏洞POC 1)cve-2020-26259:任意文件删除 import com.thoughtworks.xstream.XStream; /* CVE-2020-26259: XStream is vulnerab...
Android xml转object之XStream的坑!坑!坑!
lifeidroid的专栏
10-23 1360
牛逼的领导指出返回数据要xml格式,弱弱的安卓程序猿也无力回天啊!只能硬着头皮干! 第一步:xml解析有没有类似Gson/fastjson类似的工具呢?找了半天终于找到了今天的主角XStream。 先贴出要解析的xml <?xml version="1.0" encoding="UTF-8" ?> <name title="三角波"> <Wave tag="V1" seq="0"> <Samples name="张三"> 0X0
xstream异常com.thoughtworks.xstream.security.ForbiddenClassException
热门推荐
weixin_42228939的博客
07-14 1万+
最近项目使用到webservice调用厂商的接口,遇到的需要解析错误信息的需求,于是对于错误信息的解析使用比较暴力方式:使用XStream直接手动解析错误消息到对象。 在解析的过程中遇到了com.thoughtworks.xstream.security.ForbiddenClassException异常问题,多方寻找后找到解决方式: xStream = new XStream(); //...
XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现与分析
smellycat000的专栏
12-16 3680
聚焦源代码安全,网罗国内外最新资讯!XstreamJava 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可...
xstream-1.4.11-API文档-中文版.zip
07-14
Maven坐标:com.thoughtworks.xstream:xstream:1.4.11; 标签:thoughtworks、xstream、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,...
cmuxstream.github.io:xStream网站
02-20
xStream网站是一个基于GitHub托管的项目,其代码存储在名为"cmuxstream.github.io"的仓库中。这个网站可能是为了展示、分享或者提供与xStream相关的服务或信息。"xStream"这个名字暗示它可能与数据流处理、媒体流...
xstream:XStream是一种混合音乐播放器应用程序
03-10
**XStream:混合音乐播放器应用的深度解析** XStream是一款功能丰富的混合音乐播放器应用程序,它集成了多种音频格式的播放能力,旨在为用户提供一个一体化的音乐享受平台。这款应用的设计理念是将不同的音乐体验...
腾讯蓝军安全通告:XStream修复14个安全漏洞.pdf
09-18
腾讯蓝军安全通告:XStream修复14个安全漏洞 安全分析 安全意识教育 安全实践 信息安全 攻防实训与靶场
Java反序列化漏洞分析合集-2
Aiwin的博客
10-24 249
关于Snakeyaml、xstream、c3p0、Rome、Hibernate、Jackson反序列化链子的详细分析。
XStream 从1.3.X升级到1.4.X版本遇到问题
傲慢的上校的专栏
04-15 1216
原来为第三方提供jar包使用XStream1.3.X版本,后来升级到1.4.X版本,第三方系统使用时遇到com.thoughtworks.xstream.security.ForbiddenClassException 问题。在xml转成bean类时,发现xml中user_name 中有值,但是转换的bean类中 user_name 为空,$也是关键字,默认为_-,这2个参数一个改变$的显示,一个改变_的显示。修改后,user_name 可以转换正常。因为_是关键字,默认的会变为__
com.thoughtworks.xstream.security.ForbiddenClassException
qq_30434271的博客
03-07 2134
xstreamxml转为java bean时,报了这个异常,导致解析失败,但是单独写test用例调用是没问题的,是由于权限问题引起的, 解决办法: xStream.addPermission(AnyTypePermission.ANY); 这个是以最低权限解析,可能会有反序列化攻击的风险,不太建议使用 ...
com.thoughtworks.xstream.security.ForbiddenClassException com.thoughtworks.xstream 1.4.18
善守者
12-01 2208
XStream1.4.18
xstream1.4.18升级版本问题
qq_29423323的博客
12-12 820
xstream 升级版本问题
xstream的CVE漏洞有哪些
04-28
X是一个Java对象序列化库,它可以将Java对象序列化成XML或JSON格式。XStream的CVE漏洞主要有以下几个: 1. CVE-2013-7285:XStream反序列化漏洞,攻击者可以通过构造恶意的XML文件来执行任意代码。 2. CVE-2013-7286:XStream反序列化漏洞,攻击者可以通过构造恶意的XML文件来执行任意代码。 3. CVE-2017-7957:XStream反序列化漏洞,攻击者可以通过构造恶意的XML文件来执行任意代码。 4. CVE-2017-9805:XStream反序列化漏洞,攻击者可以通过构造恶意的XML文件来执行任意代码。 5. CVE-2020-26217:XStream反序列化漏洞,攻击者可以通过构造恶意的XML文件来执行任意代码。 需要注意的是,以上漏洞都已经被修复,建议使用最新版本的XStream以避免安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值