Java XML漏洞解决方案

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量2.4k 收藏 7
点赞数
分类专栏: Java 文章标签: xxe漏洞 xml漏洞 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011378744/article/details/81161700
版权

1:SAXReader添加
SAXReader saxReader = new SAXReader(false);
saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
saxReader.setFeature("http://xml.org/sax/features/external-general-entities", false);
saxReader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

2:SAXBuilder添加
SAXBuilder sb = new SAXBuilder();    
sb.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
sb.setFeature("http://xml.org/sax/features/external-general-entities", false);
sb.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

3:DocumentHelper改成SAXReader
SAXReader reader = new SAXReader(false);
StringReader read = new StringReader(str.trim());
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
Document doc = reader.read(read);

4.如果有,则删除crimson.jar

Meaning2016
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计——XML 外部实体注入(XXE
m0_61506558的博客
11-27 1057
XXEXML 外部实体注入。当应用程序在解析 XML 输入时,在没有禁止外部实体的加载而导致加载了外部文驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。当XMLReader 使用默认的解析方法并且未对。输入时,在没有禁止外部实体的加载而导致加载了外部文件及代码时,就会造成 XXE。文档的接口,其存在于公共区域中。XMLReader 接口是。XMLReader 接口是一种通过。漏洞,我们首先需要知道常见的能够解析。们一般用以下几种常见的。
XML解析器安全配置
loongshawn的博客
08-03 2886
背景说明 应用工程使用XML解析器解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件中的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。 通过配置XML解析器,禁止加载外部实体。 SAXReader解析器 public static...
【腾讯】Java安全编程指南
清茶的博客
02-17 587
Java安全编程指南
java xml与实体之间的转换(附有XXE漏洞解决方案
lqr666的博客
01-09 1505
javaBean与xml之间相互转换(附有XXE漏洞解决方案
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 973
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
dom4j解析xml时取消DTD验证
weixin_30760895的博客
07-10 393
解决方式整合一下,就分两种: 1、用setFeature() SAXReader reader = new SAXReader();reader.setValidation(false); reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);... ...
dom4j 忽略 dtd 验证
10-17 1043
dom4j 忽略 dtd 验证         今天项目中做一个功能,批量修改 hibernate 配置文件,使系统可支持oracle数据库,经考虑决定使用dom4j读取 hbm.xml 文件,功能实现后发现功能运行很慢(要读写123个hbm.xml文件),后来发现原因:dom4j读取文件时都先做 dtd 验证,占据大量时间,并偶尔在运行时出现 org.dom4j.DocumentExce
XXE代码审计以及XXE漏洞修复
01-27 1727
java XXE代码审计 java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式 使用DOM解析XML protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String result=""; try { //DOM
dom4j new SAXReader().setFeature(a,b);
youshini的专栏
07-19 1289
 good blog:        关于在DOM4J在读取XML文件时,解释DTD的问题
php微信支付xml数据异常,微信支付接口存在XML漏洞
weixin_35936248的博客
03-18 478
近日,网上爆出了微信支付官方SDK(软件工具开发包)存在严重的漏洞,确认该漏洞影响JAVA版本的SDK,可导致商家服务器被入侵(绕过支付的效果)。值得重视的是,一旦攻击者获得商家的关键安全密钥,就可以通过发送伪造信息来欺骗商家而无需付费购买任何东西,明显是微信支付的大漏洞!影响范围巨大,建议用到JAVA SDK的商户快速检查并修复。如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况...
jboss与struts漏洞解决
08-13
然而,升级可能引发包冲突,此时可通过编写过滤器(如actionFilter)并在web.xml中配置过滤规则来避免恶意请求,这是一种相对简便的解决方案。 接下来,我们转向JBoss漏洞。这种漏洞主要源于JMX-Console和Web-...
Dom4J-SaxReader 的用法
11-14
冰云总结的SaxReader 的用法 冰云总结的SaxReader 的用法
SSO解决方案
12-04
SSO(Single Sign-On)解决方案是一种身份验证机制,允许用户在一个应用系统中登录后,无需再次登录即可访问其他相互信任的应用系统。这种技术在多应用环境中极大地提高了用户体验,减少了用户记忆多个账号和密码的...
WebView深度学习之WebView的内存泄漏、漏洞以及缓存机制原理和解决方案.docx
10-26
WebView 深度学习之 WebView 的内存泄漏、漏洞以及缓存机制原理和解决方案 WebView 是 Android 中一个非常重要的组件,它可以将网页加载到移动设备上,但同时它也存在一些问题,如内存泄漏、漏洞和缓存机制等。本文...
一根数据线引发的安卓高危漏洞.pdf
10-12
JDWP(Java Debug Wire Protocol)是Android系统原生支持的一种调试协议,通常默认关闭,只有在开发者明确开启调试器时才会启用。然而,JDWPExposed漏洞表明,在某些内置系统功能被调用时,JDWP接口可能会默认打开,...
企业级DevSecOps开源治理方案.pptx
10-19
- **热门项目漏洞多**:如Spring框架、Apache XML Xalan-Java等,这些热门项目成为攻击目标。 - **开发者安全技能不足**:根据Snyk的报告,开发者在安全方面的技能短板明显,导致热门项目成为漏洞重灾区。 3. **...
关于XML解析存在的安全问题指引
蒋固金(jianggujin)的专栏
08-13 8166
最近一段时间被曝出的微信支付的XML解析存在的安全问题,主要问题是XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。微信官方做了回应,原文地址:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 如...
java帮助类_Java Dom4j解析XML处理帮助类
weixin_29342901的博客
02-20 80
代码分享:importjava.io.ByteArrayOutputStream;importjava.io.File;importjava.io.FileInputStream;importjava.io.FileOutputStream;importjava.io.FileWriter;importjava.io.IOException;importjava.io.OutputS...
SAXReader不校验dtd文件
总有一天,你的日积月累,会成为别人的望尘莫及
11-20 1338
今天弄SAXReader读取XML文件时老是报错,说某某路径下的200602.dtd文件找不到。我就觉得奇怪:指定目录的确没这个文件,我的整个电脑上都没有这个文件,必然报错很正常,问题是我没让它读取什么dtd文件啊。后来查来查去,返现我要读写的那个xml文件里面有这个一句:!DOCTYPE dmh SYSTEM "200602.dtd"。原来是xml文件的dtd文件校验。 于是网上搜刮了一下...
java xml解析
09-29
引用内容中提到,使用dom4j库可以进行Java XML解析。在引用中,代码展示了如何使用dom4j库来解析XML文件。首先,创建一个InputStream对象来读取XML文件。然后,使用SAXReader对象来创建一个Document对象,该对象表示整个XML文档。接下来,可以通过获取根节点对象并将其存入list中,进一步操作XML文档的其他节点。 在引用中,提到了使用XPath来选取节点的方法。可以使用SelectNodes方法来实现。在引用中,展示了如何遍历XML文档中的节点,并进行相应的操作。通过获取节点的标签名称和属性值,可以进一步处理和操作XML文档。 与Java XML解析相关的问题: 1. 除了dom4j,还有哪些常用的Java XML解析库? 2. 在解析XML文档时,如何处理命名空间? 3. 如何在Java中将XML解析为对象模型? 4. 如何在Java中将对象模型转换为XML

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值