DOM解析之DOM防护-XXE(外部实体注入漏洞)

最新推荐文章于 2024-06-20 10:23:54 发布
最新推荐文章于 2024-06-20 10:23:54 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: Java 文章标签: DOM XXE XML实体注入防护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qy_0626/article/details/84257350
版权
本文介绍了如何解决XML外部实体注入(XXE)漏洞,特别是在DOM解析过程中。针对微信回调中解析XML的安全问题,提供了一段补充防护代码,并展示了将XML转换为Map的方法。参考了DocumentBuilderFactory API和相关安全防护技术文档。
摘要由CSDN通过智能技术生成

最新的项目被微信告知一个漏洞需要解决,说是“XML外部实体注入漏洞”

也就是说 涉及微信回调解析xml的过程需要补充一个防止外部实体注入的代码,以下以DOM为例。

具体代码如下:

这个是一个公共的方法 用来解析之前加入xml防护

package com.net.pay.wxpay.util;

import java.io.IOException;

import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException;

import org.apache.log4j.Logger;
import org.w3c.dom.Document;
import org.xml.sax.SAXException;

/**
 * 补充xml的防护
 * create by zhangqi 2018-11-19
 */
public class WXPayXmlUtil {
	
	private static Logger log = Logger.getLogger(WXPayXmlUtil.class);
	

	public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
		
		DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
		String FEATURE = null;
		try {
			// This is the PRIMARY defense. If DTDs (doctypes) are disallowed, almost all XML entity attacks are prevented
			// Xerces 2 only - http://xerces.apache.org/xerces2-j/features.html#disallow-doctype-decl
			FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
最低0.47元/天 解锁文章
就写一行代码
关注
专栏目录
web渗透--25--XXE外部实体注入
武天旭的博客
09-16 1366
1、漏洞描述: XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念。实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容。如果在这个过程中引入了“污染”源,在对XML文档处理后则可能导致...
XML文件的解析以及XML外部实体注入防护
热门推荐
u013224189的专栏
11-10 3万+
XML外部实体注入 (XXE防护)
防止 XML外部实体注入
gjp014的专栏
09-18 6472
方式一 DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); // 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击 String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl"; ...
XXE注入攻击与防御_
最新发布
VN520的博客
06-20 342
****XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题. 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.0x01 威胁 XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:pull-in任
dom4j使用的一些问题
勤奋的asialee的博客
03-28 377
  1. 在dom4j里,直接在root element上addNamespace是无法成功的,因为是默认的,所以prefix必须给空字符串,结果导致了root的直接子结点都产生了xmlns=""的属性 诸如: <root xmlns="http://wangf.javaeedev.com"> <blog xmln=""> <aticles&gt..
html 外部xml,Java HTML/XML - 如何拦截XML DOM解析期间对外部实体的访问
weixin_42535703的博客
06-16 217
import java.io.File;import java.io.FileReader;import java.net.URI;import javax.xml.parsers.DocumentBuilder;import javax.xml.parsers.DocumentBuilderFactory;import org.w3c.dom.Document;import org.xml.sa...
【网络安全】XXE--XML外部实体注入
边缘拼命划水的小陈
04-24 1299
XML外部实体注入XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
dom4j.DocumentHelper” XXE注入攻击问题
07-14
1. 禁用外部实体解析:在使用 dom4j 库解析 XML 数据时,可以设置禁用外部实体解析的选项。例如,在创建 SAXReader 对象之前,可以调用 `setFeature` 方法禁用外部实体解析: ```java SAXReader reader = new ...
SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5710
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
xxe漏洞简介
u011066706的专栏
04-17 4138
xxe漏洞无法复现原因 主要是simplexml_load_file这个函数的问题,在旧版本中是默认解析实体的,但是在新版本中,已经不再默认解析实体了,需要在simplexml_load_file函数中指定第三个参数为LIBXML_NOENT,不然不会解析实体的。 xxe实体注入详解 0x00背景 XXE Injection即XML External Entity Injec
dom4j-xml-injection:dom4j xml注入漏洞的概念证明
04-29
dom4j-xml-注入 这是概念证明,显示了dom4j上的XML注入漏洞。 该项目具有三个子模块,除了dom4j版本外,这些子模块相同。 易受攻击的模块使用2.1.0,安全模块使用2.1.1,旧版模块使用1.6。 所有模块均具有描述该漏洞的相同测试。 该测试在易受攻击的模块和旧版模块上变为绿色,但在安全模块上失败。 要检查生成的XML文件中是否存在易受攻击的模块,只需在./vulnerable-version/output.xml查找输出文件./vulnerable-version/output.xml 要检查所生成的旧模块的XML文件,只需在./vulnerable-version/output.xml查找输出文件。
XML 外部实体注入
2201_75370376的博客
06-22 993
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
XML注入攻击总结
qq_32238611的博客
09-08 1万+
XML注入攻击总结普通的XML注入 普通的XML注入 原理 XML注入攻击和SQL注入攻击的原理一样,利用了XML解析机制的漏洞,如果系统对用户输入"<",">"没有做转义的处理,攻击者可以修改XML的数据格式,或者添加新的XML节点,就会导致解析XML异常,对流程产生影响。 如何注入攻击 如下XML是用于注册访问用户,其中用户名是由用户自己输入的。 <?xml version="1.0" encoding="UTF-8" ?> <user role="gues
XML外部实体注入基础
qq_63928796的博客
12-06 529
xml xml的优点 xml是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,非常适合Web传输,而且xml有助于在服务器之间穿梭结构化数据,方便开发人员控制数据的存储和传输。 而且在配置文件里边所有的配置文件都是以XMl的格式来编写的,跨平台进行数据交互,它可以跨操作系统,也可以跨编程语言的平台,所以可以看出XML是非常方便的,应用的范围也很广,但如果存在漏洞,那危害就不言而喻了 dtd Document Type Definition文档类型定义 https://
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5410
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
web安全 XML实体注入风险
金溪的博客
09-14 7000
描述   XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置,否则外部实体会迫使 XML 解析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XML External Entity (XX...
关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析漏洞修补
wtbapi的博客
07-06 5771
7月4日微信发来通知说存在XML实体注入漏洞,请修改。由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实...
XXE漏洞详解(XML外部实体注入)
谢公子的博客
01-12 1万+
目录 XXE XXE漏洞演示利用 Blind OOB XXE 场景1 – 端口扫描 场景2 – 通过DTD窃取文件 场景3 – 远程代码执行 XXE漏洞的挖掘 XXE的防御 在学习XXE漏洞之前,我们先了解下XML。传送门——>XML和JSON数据格式 那么什么是XXE漏洞呢? XXE XXE(XML ExternalEntity Injection)也就是XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值