setFeature的妙用,解析XML时,外部注入预防即XXE攻击

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量1.6w 收藏 15
点赞数 4
分类专栏: Java 文章标签: xml解析 外部注入攻击 XXE攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scmrpu/article/details/50423701
版权

SAX2采用feature和property这两种办法对解析器进行设置。SAX不但没有限制feature的种类,还鼓励其他组织和个人创建自己的feature。这些feature表示解析器的功能,通过设置feature,我们可以控制解析器的行为,例如,是否对XML文件进行验证等等。下面我们演示如何使用feature。XMLReader中有getFeature和setFeature两个方法。getFeature方法可以用来探测解析器是否打开或具有某些功能,这个方法的返回值为boolean型数据。setFeature可以进行设置,打开或者关闭某些功能,参数有两个,第一个为一个URI字符串,表示功能类型,第二个为一个boolean型数据,表示是否打开,关闭某个功能。下面一段代码演示了如何使用getFeature。

 try{if (xmlReader.getFeature("http://xml.org/sax/features/validation")) {System.out.println("Parser is validating."); } else { System.out.println("Parser is not validating."); } } catch (SAXException e) { System.out.println("Parser may or may not be validating."); }

setFeature方法可以把一个特性设置为true或者false,从而打开或者关闭这个特性。下面的代码演示了如何使用setFeature。

try{XMLReader oXReader = XMLReaderFactory.createXMLReader();oXReader.setFeature("http://xml.org/sax/features/namespaces",true);}catch(...){ ... }

表4中列出了SAX和APACHE提供的所有feature:

feature 功能
http://xml.org/sax/features/namespaces 打开、关闭名空间处理功能。当正在解析文档时为只读属性,未解析文档的状态下为读写。
http://xml.org/sax/features/namespace-prefixes 报告、不报告名空间前缀。当正在解析文档时为只读属性,未解析文档的状态下为读写。
http://xml.org/sax/features/string-interning 是否将所有的名字等字符串内部化,即使用String.intern()方法处理所有的名字字符串,Xerces目前不支持这个特性,在支持这种特性的解析器上这样可以节省内存空间,但是可能会稍微降低速度。在处理有很多的重复tag的时候打开这个特性可以节约很多空间;由于节省了重新分配内存的时间,反而可能会提高速度。当正在解析文档时为只读属性,未解析文档的状态下为读写。
http://xml.org/sax/features/validation 是否打开校验。当关闭校验的时候可以大大节约内存空间并且大大提高解析速度。因此如果使用的XML文档是可靠的,例如程序生成的,最好关闭校验。当正在解析文档时为只读属性,未解析文档的状态下为读写。
http://xml.org/sax/features/external-general-entities 是否包含外部生成的实体。当正在解析文档时为只读属性,未解析文档的状态下为读写。
http://xml.org/sax/features/external-parameter-entities 是否包含外部的参数,包括外部DTD子集。当正在解析文档时为只读属性,未解析文档的状态下为读写。
http://apache.org/xml/features/validation/schema 是否使用schema。这个特性是apache为Xerces提供的。
http://apache.org/xml/features/validation/dynamic 当设置为true时,仅仅在XML文档指明语法时进行校验,若设置为false,则由http://xml.org/sax/features/validation决定,若其为false则不校验,若为true则校验。
http://apache.org/xml/features/validation/warn-on-duplicate-attdef 是否在遇到重复的属性声明时警告。
http://apache.org/xml/features/validation/warn-on-undeclared-elemdef 是否在遇到未定义的元素的时候警告。
http://apache.org/xml/features/allow-java-encodings 是否允许在XMLDecl和TextDecl使用java的字符编码名。如果设置为false则在遇到java字符编码名的时候会产生一个错误。需要注意的是不是所有的解析器都会允许使用java字符编码名的。
http://apache.org/xml/features/continue-after-fatal-error 是否在发生致命错误后继续进行解析。
http://apache.org/xml/features/nonvalidating/load-dtd-grammar 是否装载DTD语法并且自动增添DTD中定义的缺省值。若http://xml.org/sax/features/validation设置为true则此特性自动设置为true。
http://apache.org/xml/features/dom/defer-node-expansion 这个特性是DOM特性,在这里一起介绍了。是否使用懒惰型节点展开,当这个特性设置为true时,可以提高解析速度并节约内存。这个特性同属性http://apache.org/xml/properties/dom/document-class-name的设置有关。
http://apache.org/xml/features/dom/create-entity-ref-nodes 这个特性是DOM特性,是否用引用的方式建立实体节点,若设置为true则会建立EntityReference节点,若设置为false则会用实际字符串取代实体引用。
http://apache.org/xml/features/dom/include-ignorable-whitespace 这个特性是DOM特性,是否将可以忽略的空白字符串包含在DOM树里面,缺省为true。但是笔者本人一般情况下会设置为false。另外仅仅在打开了校验的情况下才可以判断出来是否有空白字符串。因此这个特性是同http://xml.org/sax/features/validation相关的。
Scmrpu
关注
  • 4
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XML解析注入处理(rom4j)
superkhadijah的博客
12-03 836
ROM4J防注入处理 SAXReader saxReader = new SAXReader(); saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); saxReader.setFeature("http://xml.org/sax/features/external-general-entities", false); saxReader.setFeature("http://xml.o.
java XML解析防止外部实体注入
weixin_30653023的博客
03-27 1995
  /** * 增加防止部实体注入逻辑 * <功能详细描述> * @param reader * @throws SAXException * @see [类、类#方法、类#成员] */ public static void setReaderFeature(SAXReader reader) ...
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 1036
XML 实体允许定义标记,在分析 XML 文档,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
xml外部实体攻击
07-17
xml外部实体使用,漏洞产生原因,详细举例攻击原理,修复方法等
java xmlreader_XMLReader
weixin_35548486的博客
02-16 530
查找功能标志的值。功能名称是任何完全限定 URI。XMLReader 识别功能名称是可能的,但暂不能返回它的值。有些功能值仅在特定的上下文中可用,例如在解析之前、期间或之后。另外,有些功能值不能以编程方式访问。(如果是用于 SAX1 Parser 的适配器,则将没有独立于实现的方法来公开基础解析器是否在执行验证,是否展开外部实体等。)要求所有的 XMLReaders 都能识别 http://xm...
SAXReader说明
weixin_33935505的博客
04-21 153
SAXReader 说明:SAXReader主要用于解析XML文件,是当前比较流行的xml解决方案.代码以基础类函数的形式展现如下:java 代码package com.dc.framework.taglib; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.util.HashMa...
认识XmlReader
weixin_33690367的博客
01-20 161
摘要 XmlReader类是组成.NET的关键技术之一,极大地方便了开发人员对Xml的操作。通过本文您将对XmlReader有一个很好的认识,并将其应用到实际开发中。   目录 概要 创建Xml读取器 访问外部资源 读取数据 一个简单的实例   1.概要 XmlReader 类是一个提供对 XML 数据的非缓存、只进只读访问的抽象基类。该类符合 W3C 可扩展...
setFeature(String, boolean) is undefined for the type javax.xml.parsers.DocumentBuilderFactory
bruce2018的专栏
04-01 2786
最近把jdk7升级到8之后,以下代码报了错误: package com.vhd.wx; import org.w3c.dom.Document; import javax.xml.XMLConstants; import javax.xml.parsers.DocumentBuilder; import javax.xml.parsers.DocumentBuilderFactory; i...
xxe-injection-payload-list::bullseye:XML外部实体(XXE注入有效负载列表
02-06
XXE注入通常发生在应用解析不受信任的XML输入,没有正确地限制XML解析器的行为。下面将详细阐述XXE漏洞的工作原理、危害、常见利用方式以及防范措施。 **一、工作原理** XML是用于数据交换的标准格式,它支持外部...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
JAVA XML 解析
05-14
处理XML,必须注意安全问题,如XXEXML External Entity)和XSS(Cross-site scripting)。Java提供了`org.xml.sax.ext.EntityResolver2`和`com.sun.org.apache.xerces.internal.impl.dv.util.Base64`等类来限制...
测试XXE注入.docx
09-06
XXE 注入XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件、执行系统命令、...
XMLReader 读取XML文档
u013400314的博客
11-02 178
XML Reader
关于xml实体攻击的讨论
tlxamulet的博客
02-12 799
xml实体攻击
XmlReader简介
Prince的博客
03-25 7430
XmlReader简介 XmlReader允许您从流或者XML文档中访问XML数据。这个类提供了对XML数据快速、非缓存、只读、只向前的访问方式。在.NET Framework 1.x中,XmlReader是一个抽象类,其派生类通过实现其提供的方法来提供对XML数据的元素和属性的访问。但是随着.NET Framework 2.0的发布,XmlReader成为像XmlTextReader类一样的...
XML解析器安全配置
loongshawn的博客
08-03 2904
背景说明 应用工程使用XML解析解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件中的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。 通过配置XML解析器,禁止加载外部实体。 SAXReader解析器 public static...
sax 验证_验证和SAX ErrorHandler接口
cuyi7076的博客
06-22 582
XML验证是良好的文档创作的基础。 为XML文档赋予含义的关键以及验证的关键在于控制该文档的一组约束,并确保遵循这些约束。 例如,元素page在仅允许一个page元素(如表示一个内容页面)的含义与在允许多个page元素(如具有数百页的冗长小说)中的含义不同。 DTD或XML Schema加上验证解析器使文档可跨应用程序使用。 通过使用SAX(XML的简单API),可以轻松地实现验证文档约束并...
Java XML漏洞解决方案
我要MEANING
07-23 2464
1:SAXReader添加 SAXReader saxReader = new SAXReader(false); saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); saxReader.setFeature("http://xml.org/sax/features/external...
使用配置的 XML 解析器'DocumentHelper'无法预防和限制文档类型定义 (DTD) 实体解析,引起XXE注入攻击
07-14
你提到了一个很重要的问题,即使用配置的 XML 解析器 'DocumentHelper' 可能无法预防和限制文档类型定义 (DTD) 实体解析,从而引发 XXE 注入攻击。这是一种安全漏洞,攻击者可以通过恶意构造的 XML 实体来读取敏感文件、执行远程代码或进行其他恶意操作。 为了防止 XXE 注入攻击,有几个建议和最佳实践可供参考: 1. 禁用外部实体解析:在解析 XML 之前,确保禁用对外部实体的解析。在使用 DocumentHelper 解析,可以通过设置 "setExpandEntityReferences(false)" 来禁用外部实体解析。 2. 使用安全的 XML 解析器:你可以考虑使用更安全的 XML 解析器,如JAXB(Java Architecture for XML Binding)或StAX(Streaming API for XML)。这些解析器具有更严格的默认配置,可以有效地防止 XXE 注入攻击。 3. 白名单验证输入:在接受用户输入并将其作为 XML 数据处理之前,进行严格的输入验证和过滤。确保只接受预期的输入,并且不允许任何外部实体或不受信任的内容进入 XML 数据。 4. 防火墙和入侵检测系统:在网络层面上,使用防火墙和入侵检测系统来检测和阻止恶意的 XML 请求。 5. 更新和升级:及更新和升级你使用的 XML 解析器和相关库,以确保使用的是最新版本,其中包含了已知的安全修复和改进。 请记住,安全性是一个持续的过程,不同的应用场景可能需要针对性的安全措施。因此,综合考虑以上建议,并结合你的具体需求和环境来选择最适合的安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值