从XXE漏洞修复引起Not supported: http://javax.xml.XMLConstants/property/accessExternalDTD说到SPI机制...

最新推荐文章于 2024-01-24 16:47:38 发布
最新推荐文章于 2024-01-24 16:47:38 发布
阅读量1.6k 收藏 1
点赞数 1
文章标签: java mysql apache 数据库 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013247068/article/details/126408114
版权

引子 

  在使用Fortify扫描时代码报XML External Entity Injection,此漏洞为xml实体注入漏洞,XXE攻击可利用在处理时动态构建文档的 XML 功能。修复方案也包含了增加安全配置,使它不允许将外部实体包含在传入的 XML 文档中。

    具体在修复过程中,代码在解析drools的transfer.xls时,调用代码中增加内容,包括serFeature和setAttribute

TransformerFactory factory = TransformerFactory.newInstance();		
factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
factory.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD,"");

但在执行第二行,
factory.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, ""); 

时,抛出异常

不支持:http://javax.xml.XMLConstants/property/accessExternalDTD  
at org.apache.xalan.processor.TransformerFactoryImpl.setAttribute(TransformerFactoryImpl.java:571)  
at XlsJava.main(XlsJava.java:10)

跟踪与定位    

    仔细查看代码,定义为javax.xml.transform.TransformerFactory的factory在setAttribute时却进入到了路径为org\apache\xalan\processor\TransformerFactoryImpl.class的类。

     出现这个情况,因为项目中依赖了xalan的包,而在xalan包中指定了META-INF\services

因为这个设置,将完全限定名称为javax.xml.transform.TransformerFactory类的方法映射到了路径为

org.apache.xalan.processor.TransformerFactoryImpl

的类上,而在此类中经过一系列判断最终抛出异常

解决方案

    解决这个问题的方法也很简单,只需要在调用此段代码的工程之下,覆盖xalan包的设置即可。具体实现为,在调用

factory.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");

的工程下配置META-INF/services路径,新建名称为

javax.xml.transform.TransformerFactory

的文件,其文件内容为

com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl

如图

SPI机制

  SPI是Service Provider Interface 的简称,即服务提供者接口的意思。上文所使用的处理方法就是SPI机制的实例。SPI自jdk1.6开始引入,此后便有了广泛的应用,最常见的就是数据库连接,JDK提供了一个java.sql.Driver接口,根据不同的数据库厂商来引入不同的JDBC驱动包,比如MySQL这些数据库驱动其实都会实现这个驱动类。SPI机制要求拓展内容需存放在resources/META-INF/services目录下,META-INF用于存储服务提供者(service provider)的配置文件,serviceloader从META-INF/services中文件查找service的实现,该文件具有与service接口相同的限定名,其内容包括实现的限定名列表。如此,serviceloader将调用META-INF/services中文件的具体实现。所以,

javax.xml.transform.TransformerFactory

类的实现,却在调用方法的时候定位到了

org.apache.xalan.processor.TransformerFactoryImpl

  为什么必须是META-INF/services之下?看了源码你可能就会明白

public final class ServiceLoader<S> implements Iterable<S>{
    private static final String PREFIX = "META-INF/services/";
}

SPI机制的优缺点

优点

  1. 其核心思想就是解耦,让接口和实现分离开来
  2. 提高框架的扩展性,可以使框架根据实际业务情况启用扩展或替换框架组件

缺点

  1. serviceloader对实现类的加载使用的是懒加载,在使用循环遍历时,即使是不必要加载的类同样会被实例化,造成浪费
  2. serviceloader不是线程安全的

更多的关于SPI的相关内容,参考官方文档https://docs.oracle.com/javase/6/docs/api/java/util/ServiceLoader.html

“解决外部 DTD 读取问题:mybatis生成器配置1.dtd文件访问属性设置错误“
NknkCode的博客
10-10 686
在使用MyBatis生成器配置文件时,有时会遇到一个常见的错误消息:“外部 DTD 无法读取外部 DTD ‘mybatis generator config 1 dtd’,因为accessExternalDTD属性设置的”。是MyBatis提供的一个实用程序类,用于解析XML文件并处理外部DTD文件的加载。当你采取了适当的措施来解决外部DTD加载问题后,你的MyBatis生成器配置文件将能够正常工作,不再显示上述错误消息。以上是两种常见的解决方法,具体的解决方案可能因你使用的XML解析器而有所不同。
ubuntu离线安装lightgbm,报错OSError: /home/feng/anaconda3/envs/py36/bin/../lib/libgomp.so.1: version `GOMP_
Mr.Feng的博客
05-24 3001
Window下用 Anaconda 安装lightgbm很简单,直接用conda install lightgbm就可以了 实验室的Linux服务器不能联网,这可就废劲了 一、github下载lightgbm LigjtGBM网址:https://github.com/Microsoft/LightGBM 二、下载LightGBM-master.zip后上传到服务器解压缩 unzip LightGBM-master.zip 三、安装 1.前提 需要安装有CMake 、 gcc 、gli
【已解决】Unrecognized configuration feature: http://javax.xml.XMLConstants/property/accessExternalDTD
qq_45256357的博客
10-30 943
【已解决】Unrecognized configuration feature: http://javax.xml.XMLConstants/property/accessExternalDTD
不支持:http://javax.xml.XMLConstants/property/accessExternalDTD
zj_gbt的博客
11-01 1万+
升级框架后因项目中xalan.2.7.1 jar包与spring-xml.2.4.3 jar包在TransformerFactory的实现类存在冲突,报错: 不支持:http://javax.xml.XMLConstants/property/accessExternalDTD at org.apache.xalan.processor.TransformerFactoryImpl.setAttributer 冲突原因:spring-xml jar包中org.spri...
不支持:http://javax.xml.XMLConstants/property/accessExternalStylesheet
热门推荐
AVATAR
03-28 1万+
目录 发生场景: 发生原因: 解决办法: 发生场景: 在springboot2.6.4项目下,使用HuTool5.7.22的ExcelWriter生成Excel文件的时候,关闭writer的时候报此错误,但是不影响代码执行结果,因为是在Main方法中做的业务逻辑处理; 11:48:23.441 [main] WARN org.apache.poi.util.XMLHelper - SAX Feature unsupported [log suppressed for 5 minutes]
记一次SPI机制导致的BUG定位【不支持:http://javax.xml.XMLConstants/property/accessExternalDTD
最新发布
AlaGeek的博客
01-24 1102
首先看抛异常的第一条信息,org.apache.xalan.processor.TransformerFactoryImpl,这个类首先看名称,后面带了Impl,一般来应该是某个接口的实现类,因为这个是引用的jar包里报的错,还是apache的jar包,一般来不太可能是apache代码写错了,所以很有可能是我们调这个接口的时候,调错实现类了,实际上不应该调apache的这个实现类。再启动服务时,服务就正常了。
spring boot项目使用poi时遇到警告SAX Feature unsupported accessExternalStylesheet
KLARA的博客
09-13 2964
在代码中调用XSSFWorkboot对象的write方法写入文件时,日志出现如下警告: 问题解决 具体的错误原因我不清楚,可以参考这里的分析:不支持:http://javax.xml.XMLConstants/property/accessExternalStylesheet。我这里将poi这个依赖升级到5.2.3后解决。
高级java笔试题-Web-Security-Learning:网络安全学习https://chybeta.github.io/2017/08
06-03
XXE JSONP注入 SSTI 代码执行 / 命令执行 文件包含 文件上传 / 解析漏洞 逻辑漏洞 其他漏洞 RPO(relative path overwrite) Web Cache redis 。 PHP相关 弱类型 随机数问题 伪协议 序列化 php mail header injection ...
设置reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 能防止XXE攻击吗
07-15
XXE攻击是一种利用XML解析器的漏洞,通过在XML文档中插入恶意实体引用或外部实体引用,攻击者可以读取敏感文件、执行远程代码等。通过禁用DTD(Document Type Definition)处理,可以有效地防止XXE攻击。 在Java中...
第39天:WEB漏洞-XXE&XML之利用检测绕过全解1
08-03
总结来XXE漏洞是由于XML解析器处理不当引起的,可能导致敏感数据泄露、内网扫描和命令执行等严重后果。因此,开发者应确保正确配置和限制XML解析器,避免使用不受信任的XML输入,并实施输入验证和过滤机制,以...
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);dbf.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true); 这个里面参数是http 确定不联网能用吗
06-02
只要将这段代码嵌入到你的Java应用程序中,就可以在本地使用它来解析XML文件,从而防止XXE漏洞的利用。 需要注意的是,这段代码只是一种简单的防御措施,如果你的应用程序需要处理大量的XML数据,或者需要保护更...
Xml DTD校验中关于external entity的实现策略。
dengyunze
04-18 2869
Xml parser的实现中,DTD的实现是一个比较麻烦的地方。麻烦之处不在于DTD的逻辑部分,而在于如何处理DTD的外部Entity,比如,DTD文件间的相互调用。比如如下的DTD声明:%imported-file;上面两段DTD语句,首先声明一个参数化的external Entity, 紧接着引用该external entity,表示导入该DTD文件作为整个DTD的一部分。那么,当Xml P
jdk11环境 提示“因为 accessExternalDTD 属性设置的限制导致不允许 ‘http‘ 访问“bug
weixin_44040023的博客
07-28 1274
jdk11环境 提示“因为 accessExternalDTD 属性设置的限制导致不允许 ‘http‘ 访问“bug
java代码审计手书(二)
一个码农的笔记
11-21 5215
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 xml解析导致xxe漏洞 漏洞特征:XXE_XMLSTREAMREADERxml解析程序收到不信任的输入且如果xml解析程序支持外部实体解析的时候,那么造成xml实体解析攻击(xxe) 危害1:探测本地文件内容(xxexml 外部实体) &lt;?xml version="1.0" enco...
关于XML解析存在的安全问题指引
蒋固金(jianggujin)的专栏
08-13 8247
最近一段时间被曝出的微信支付的XML解析存在的安全问题,主要问题是XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。微信官方做了回应,原文地址:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 如...
几种解析的优劣势.....
YF619201的博客
04-26 1283
DOM SAX JDOM 和DOM4J 的几种优劣势
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值