Java XML漏洞解决方案

最新推荐文章于 2024-08-14 10:56:37 发布
最新推荐文章于 2024-08-14 10:56:37 发布
阅读量2.5k 收藏 7
点赞数
分类专栏: Java 文章标签: xxe漏洞 xml漏洞 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011378744/article/details/81161700
版权

1:SAXReader添加
SAXReader saxReader = new SAXReader(false);
saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
saxReader.setFeature("http://xml.org/sax/features/external-general-entities", false);
saxReader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

2:SAXBuilder添加
SAXBuilder sb = new SAXBuilder();    
sb.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
sb.setFeature("http://xml.org/sax/features/external-general-entities", false);
sb.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

3:DocumentHelper改成SAXReader
SAXReader reader = new SAXReader(false);
StringReader read = new StringReader(str.trim());
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
Document doc = reader.read(read);

4.如果有,则删除crimson.jar

Meaning2016
关注
专栏目录
Java代码审计——XML 外部实体注入(XXE
m0_61506558的博客
11-27 1118
XXEXML 外部实体注入。当应用程序在解析 XML 输入时,在没有禁止外部实体的加载而导致加载了外部文驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。当XMLReader 使用默认的解析方法并且未对。输入时,在没有禁止外部实体的加载而导致加载了外部文件及代码时,就会造成 XXE。文档的接口,其存在于公共区域中。XMLReader 接口是。XMLReader 接口是一种通过。漏洞,我们首先需要知道常见的能够解析。们一般用以下几种常见的。
php微信支付xml数据异常,微信支付接口存在XML漏洞
weixin_35936248的博客
03-18 496
近日,网上爆出了微信支付官方SDK(软件工具开发包)存在严重的漏洞,确认该漏洞影响JAVA版本的SDK,可导致商家服务器被入侵(绕过支付的效果)。值得重视的是,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西,明显是微信支付的大漏洞!影响范围巨大,建议用到JAVA SDK的商户快速检查并修复。如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况...
XML解析器安全配置
loongshawn的博客
08-03 2934
背景说明 应用工程使用XML解析器解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件中的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。 通过配置XML解析器,禁止加载外部实体。 SAXReader解析器 public static...
java几种常见漏洞种类及处理方案
最新发布
weixin_47276069的博客
08-14 973
Input Path Not Canonicalized”(输入路径未规范化)是一种安全漏洞,它发生在应用程序接收用户提供的文件路径或目录路径时,如果没有正确地规范化这些路径,可能会导致路径遍历攻击。假设 baseDir 的值为 /var/data,而 userPath 的值为 ../etc/passwd,那么原始路径将是 /var/data/..//etc/passwd。例如,路径 /var/data/../data/file.txt 会被规范化为 /var/data/file.txt。
dom4j new SAXReader().setFeature(a,b);
youshini的专栏
07-19 1304
 good blog:        关于在DOM4J在读取XML文件时,解释DTD的问题
XXE代码审计以及XXE漏洞修复
01-27 1793
java XXE代码审计 java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式 使用DOM解析XML protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String result=""; try { //DOM
【腾讯】Java安全编程指南
清茶的博客
02-17 618
Java安全编程指南
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
### JAVA项目实践:URL存在的跨站漏洞与注入漏洞解决方案 #### 一、跨网站脚本(XSS)概述 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本攻击)是一种常见的安全漏洞攻击方式,尤其针对网站应用程序。...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
webservice XML实体注入漏洞解决方案
qq_25446311的博客
11-03 4014
漏洞描述 目标存在webservice XML实体注入漏洞XML是可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 解决方案 (1) 关闭XML解解析函数的外部实体。 在生成x
XXE漏洞 解决方案JAVA版本)
goldDaNiu的博客
07-05 9388
/**      * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。      * @param strxml      * @return      * @throws JDOMException      * @throws IOException      */      public static Map doXMLParse(String...
SSRF漏洞JAVA解决方案
柳落青
09-16 4083
SSRF(Server-side Request Forge, 服务端请求伪造)。由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。
关于XML解析存在的安全问题指引
蒋固金(jianggujin)的专栏
08-13 8210
最近一段时间被曝出的微信支付的XML解析存在的安全问题,主要问题是XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。微信官方做了回应,原文地址:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 如...
java帮助类_Java Dom4j解析XML处理帮助类
weixin_29342901的博客
02-20 86
代码分享:importjava.io.ByteArrayOutputStream;importjava.io.File;importjava.io.FileInputStream;importjava.io.FileOutputStream;importjava.io.FileWriter;importjava.io.IOException;importjava.io.OutputS...
SAXReader不校验dtd文件
总有一天,你的日积月累,会成为别人的望尘莫及
11-20 1371
今天弄SAXReader读取XML文件时老是报错,说某某路径下的200602.dtd文件找不到。我就觉得奇怪:指定目录的确没这个文件,我的整个电脑上都没有这个文件,必然报错很正常,问题是我没让它读取什么dtd文件啊。后来查来查去,返现我要读写的那个xml文件里面有这个一句:!DOCTYPE dmh SYSTEM "200602.dtd"。原来是xml文件的dtd文件校验。 于是网上搜刮了一下...
XML注入攻击总结
qq_32238611的博客
09-08 1万+
XML注入攻击总结普通的XML注入 普通的XML注入 原理 XML注入攻击和SQL注入攻击的原理一样,利用了XML解析机制的漏洞,如果系统对用户输入"<",">"没有做转义的处理,攻击者可以修改XML的数据格式,或者添加新的XML节点,就会导致解析XML异常,对流程产生影响。 如何注入攻击 如下XML是用于注册访问用户,其中用户名是由用户自己输入的。 <?xml version="1.0" encoding="UTF-8" ?> <user role="gues
SAXReader解析器
热门推荐
weixin_43087631的博客
11-30 1万+
获取sax解析器对象 SAXReader sr = new SAXReader(); 获取文件的Document对象 Document doc = sr.read(Test.class.getResourceAsStream("/person.xml")); 获取根元素 Element root = doc.getRootElement(); 获取根元素的名称 String name...
微信第三方平台开发
hello world !
01-28 4104
文章目录需求实现步骤:获取component_verify_ticket——>获取component_access_token——>获取authorizer_access_token——>调接口发布小程序1、获取component_verify_ticketcontroller实现类2、获取component_access_token实现类3、获取authorizer_access_token步骤:获取预授权码pre_auth_code——>微信公众平台管理员授权——>获取au
Log4j2安全漏洞复现及解决
或者,对于更彻底的解决方案,可以将`log4j-core`的JAR文件替换为打过补丁的版本,或者使用系统属性`-Dlog4j2.formatMsgNoLookups=true`启动应用程序。 Log4j2的这个漏洞是一个严重的安全问题,需要立即采取行动来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值