Fortify---XML External Entity Injection(XML实体注入)

最新推荐文章于 2023-02-19 20:00:00 发布
最新推荐文章于 2023-02-19 20:00:00 发布
阅读量883 收藏 1
点赞数
文章标签: java xml 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38747892/article/details/108620604
版权

最近在做一些有关fortify的修复工作,记录一下。

1.问题简介
XML External Entities是指利用XML特征来动态构建XML文档进行攻击。一个XML实体允许包含从指定数据源获取动态数据。外部实体允许一个XML实体包含从外部URI获取的数据。除非经过配置,否则外部实体会强制 XML 解析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XML External Entity (XXE) 攻击,从而用于拒绝本地系统的服务,获取对本地计算机上文件未经授权的访问权限,扫描远程计算机,并拒绝远程系统的服务。

下面是一个XXE攻击的范例:

<?xml version="1.0" encoding="ISO-8859-1"?> <!ENTITY xxe SYSTEM "file:///dev/random" >]>&xxe;

如果XML解析器试着去用/dev/random文件替换XML实体,那么将导致服务器瘫痪(使用UNIX系统)。

2.建议做法
XML解析器要做另外的安全配置,不允许外部实体进入XML文档。为了防止XXE注入,不要使用诸如java.io.File, java.io.Reader or java.io.InputStream等方法来直接解析。使用有安全配置的解析器,并且使用将安全解析器作为XML源 的方法。

下面是一个解决范例:
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature(“http://apache.org/xml/features/disallow-doctype-decl”, true);
DocumentBuilder db = dbf.newDocumentBuilder();
Document document = db.parse();
Model model = (Model) u.unmarshal(document);

蓝天⊙白云
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fortify漏洞之XML External Entity InjectionXML实体注入
arkqyo2595的博客
05-09 918
  继续对Fortify的漏洞进行总结,本篇主要针对 XML External Entity InjectionXML实体注入)的漏洞进行总结,如下: 1.1、产生原因:   XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配...
Fortify-XML-Converter:将 Fortify XML 文档转换为 Excel 电子表格
06-28
Fortify-XML-Converter 将 Fortify XML 文档转换为有用的格式。 GPLv2 输出 xlsx、csv 或漂亮的 xml 解析 DOM Xml 和 csv 输出可通过管道传输 用法 usage: fxml2xlsx.py [-h] [--version] [--debug] --input INPUT [--output OUTPUT] [--format FORMAT] Convert Fortify reports to a friendly spreadsheet formats optional arguments: -h, --help show this help message and exit --version, -v show program's
XXE(XML External Entity Injection
四问四不知的博客
05-27 1390
参考链接:http://xz.aliyun.com/t/3357
XML 实体扩展攻击
weixin_34232744的博客
03-24 950
2019独角兽企业重金招聘Python工程师标准>>> ...
[20][03][14] XML External Entity Injection(XXE)
安全新司机
05-19 424
文章目录1. 描述2. 场景3. 复现问题3.1 解析 XML 文件或 xml 字符串4. 如何解决 XXE4.1 升级第三方组件版本至安全版本4.2 主动防御外部实体 1. 描述 在对外部接口传入的 xml 类型的参数或 xml 文件,在代码中需要对这些未经合法性校验的参数进行 xml 解析时,执行里面隐藏的外部实体,从而引发安全问题 2. 场景 解析 xml 字符串 解析 xml 文件 3. 复现问题 3.1 解析 XML 文件或 xml 字符串 待解析 xml 文件,命名为 xxe.xml &
Xml DTD校验中关于external entity的实现策略。
dengyunze
04-18 2847
Xml parser的实现中,DTD的实现是一个比较麻烦的地方。麻烦之处不在于DTD的逻辑部分,而在于如何处理DTD的外部Entity,比如,DTD文件间的相互调用。比如如下的DTD声明:%imported-file;上面两段DTD语句,首先声明一个参数化的external Entity, 紧接着引用该external entity,表示导入该DTD文件作为整个DTD的一部分。那么,当Xml P
Fortify-XML-Converter-源码.rar
10-10
这个压缩包“Fortify-XML-Converter-源码.rar”包含了该工具的源代码,对于理解其工作原理、进行定制化开发或调试具有重要意义。 Fortify是一款知名的静态应用安全测试(SAST)工具,它能够扫描源代码,检测潜在的...
Fortify-SCA-and-Apps-.22.2
01-03
商业级Fortify白盒审计神器,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件...
fortify-integration-sonarqube:Fortify SonarQube插件
05-27
用于SonarQube的Fortify插件 弃用通知 该插件与SonarQube 8.0及更高版本不兼容。 有关详细信息,请参见 。 鉴于需要频繁进行SonarQube API更改并保持客户更新至SonarCloud(不支持第三方插件)来使插件保持最新状态...
fortify-headers-1.1.tar.gz
最新发布
03-14
标题 "fortify-headers-1.1.tar.gz" 暗示这是一款针对OpenWRT系统安全强化的软件包,其主要功能可能是提供安全相关的头文件。OpenWRT是一个轻量级的开源嵌入式操作系统,广泛应用于路由器和其他类型的网络设备。这个...
dom4j-xml-injection:dom4j xml注入漏洞的概念证明
04-29
dom4j-xml-注入 这是概念证明,显示了dom4j上的XML注入漏洞。 该项目具有三个子模块,除了dom4j版本外,这些子模块相同。 易受攻击的模块使用2.1.0,安全模块使用2.1.1,旧版模块使用1.6。 所有模块均具有描述该漏洞的相同测试。 该测试在易受攻击的模块和旧版模块上变为绿色,但在安全模块上失败。 要检查生成的XML文件中是否存在易受攻击的模块,只需在./vulnerable-version/output.xml查找输出文件./vulnerable-version/output.xml 要检查所生成的旧模块的XML文件,只需在./vulnerable-version/output.xml查找输出文件。
XXE全称XML External Entity Injection漏洞.pdf
07-05
介绍XXE漏洞攻防知识
Annotation Injection & XML Injection
qq_39404375的博客
01-18 325
Annotation Injection & XML Injection1. Which is better?I find some information in the official reference to explain this question, here is the screenshot:In conclusion, it depends. However, there is a
通过JAXB看XML外部实体注入(XML External Entity)
aty
07-14 6666
JAXB的使用与XXE攻击的防御
深入浅出带你了解XML实体注入
Candour_0的博客
02-19 258
深入浅出带你了解XML实体注入
XML注入漏洞
武天旭的博客
10-05 1945
一、漏洞描述 XML外部实体注入攻击,无论是WEB程序,还是PC程序,只要处理用户可控的XML都可能存在危害极大的XXE漏洞,开发人员在处理XML时需谨慎,在用户可控的XML数据里禁止引用外部实体
XXE注入--XML外部实体注入(XML External Entity)
热门推荐
u011215939的博客
05-19 1万+
前言 很早就听说过这个漏洞,但是在实际的环境中很少遇见,最近碰到过XXE注入漏洞,于是就来研究一下XXE注入。 XXE InjectionXML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题 XML知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义...
XML External Entity Injectionxml外链实体注入
weixin_30632089的博客
10-13 575
XML External Entity Injectionxml外链实体注入xml 外联实体 参考博客:http://blog.csdn.net/cristianojason/article/details/51000438 例如: 源文件 <?xml version="1.0" encoding="GBK"?> <!DOCTYPE root[...
XML注入:理论篇--定义、原因、防御
WEL测试
11-30 1185
什么是XML注入漏洞 XML injection(XML注入漏洞),该漏洞类似SQL注入XML文件一般用作存储数据及配置,如果在修改或新增数据时,没有对用户可控数据做转义,直接输入或输出数据,都将导致xml注入漏洞。 XML注入产生的原因 XML注入产生的原因与SQL注入差不多,主要包含以下两个: 传输的数据包含了标签内容 修改数据时会覆盖原有的标签 XML注入漏洞例子 服务器是生成XML来存储用户数据,示例如下: <?xml version="1.0" encoding="UTF-8"?&gt
-D_FORTIFY_SOURCE=什么意思
06-10
`-D_FORTIFY_SOURCE` 是 GCC 和 Clang 编译器提供的一个编译选项,它可以开启在编译时进行一些安全性检查的功能。该选项会定义一个宏 `_FORTIFY_SOURCE`,告诉编译器对一些函数进行安全检查。 具体地说,开启该选项后,编译器会对一些常用的 C 库函数(如 `strcpy`、`strcat`、`sprintf` 等)进行安全检查,以防止缓冲区溢出等安全漏洞。如果检查到潜在的安全问题,编译器会在编译时报错。 但有时候,某些代码会因为该选项的开启而导致编译错误,例如一些旧版本的库函数可能不支持该选项导致编译错误。在这种情况下,可以通过在编译时加入 `-D_FORTIFY_SOURCE=0` 参数来禁用安全检查。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值