使用JAXB实现XML转对象导致XXE漏洞防护

最新推荐文章于 2022-12-29 17:01:56 发布
最新推荐文章于 2022-12-29 17:01:56 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: Java 文章标签: XXE JAXB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangww3/article/details/90665695
版权

不安全写法,存在漏洞:

public static Object convertXmlToObj(Class clazz, String xmlStr)throws Exception {
    JAXBContext context = JAXBContext.newInstance(clazz);
    Unmarshaller unmarshaller = context.createUnmarshaller();
    return unmarshaller.unmarshal(new StringReader(xmlStr));
}

安全写法,漏洞防护:

public static Object xmlToObjectSafe(Class<?> klass, String xml) throws Exception {
    // 将外部实体、参数实体和内联DTD 都设置为false,从而避免XXE漏洞
    SAXParserFactory spf = SAXParserFactory.newInstance();
    spf.setFeature("http://xml.org/sax/features/external-general-entities", false);
    spf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
    spf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

    // Do unmarshall operation
    Source xmlSource = new SAXSource(spf.newSAXParser().getXMLReader(), new InputSource(new StringReader(xml)));

    JAXBContext context = JAXBContext.newInstance(klass);
    Unmarshaller unmarshaller = context.createUnmarshaller();
    return unmarshaller.unmarshal(xmlSource);
}

XXE防护官方文档:(包含各种xml转bean防护方法)https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.md

 参考:

          https://www.cnblogs.com/wfzWebSecuity/p/6681114.html
          https://blog.spoock.com/2018/10/23/java-xxe/
          https://blog.csdn.net/SouthWind0/article/details/89455611

奇歌微微
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAXB技术实现xml与java对象互相化代码教程
04-10
使用java jdk的JAXB技术实现xml与java对象互相化代码教程: JDK中JAXB相关的重要Class和Interface:(来源于百度百科JAXB) •JAXBContext类,是应用的入口,用于管理XML/Java绑定信息。 •Marshaller接口,将Java...
JAXB的继承,解组到封送类的子类
yaov_yy的专栏
01-12 4090
我用JAXB来读写XML。我要的是一个基类JAXB的编组和继承的JAXB类解组。这是为了允许一个发送者的Java应用程序发送XML到另一个接收机的Java应用程序。发送者和接收者将共享JAXB库。我想接收到的XML解组到它扩展了通用的JAXB类接收器特定的JAXB类。 例如: 这是JAXB类,它由发送方。 @XmlRootElement(name="person") public class P
JAXBContext实现xml和javabean之间的互相
qq_35861084的博客
11-01 577
/** *xmlString换成对象 * *createdbycaizhon2018-05-24v1.0 */ public static Object convertXmlStrToObject(Classclazz,StringxmlStr)throws Exception{ JAXBContext context=JAXBContext.newInstance(clazz); ...
xml
G_whang的博客
08-25 217
import java.io.ByteArrayInputStream; import java.io.StringReader; import java.io.StringWriter; import java.io.UnsupportedEncodingException; import java.lang.reflect.Field; import java.util.HashMap; im...
JAXB- XML外部实体注入安全代码漏洞(XXE)
qq_24702263的博客
05-15 1932
XXE攻击 (XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 具体的可以看:https://blog.csdn.net/qq_24702263/article/details/106137827 JAXB是什么? JAXB实现了java对象xml之间的换 package com.jaxb; import java.io.FileInpu
JAVA6开发WebService (五)—— JAXB
why
01-25 171
    JAXB(Java API for XML Binding),提供了一个快速便捷的方式将Java对象XML进行换。在JAX-WS(Java的WebService规范之一)中,JDK1.6 自带的版本JAX-WS2.1,其底层支持就是JAXB。       JAXB 可以实现Java对象XML的相互换,在JAXB中,将一个Java对象换为XML的过程称之为Marshal,将XM...
XML文件的解析以及XML外部实体注入防护
热门推荐
u013224189的专栏
11-10 3万+
XML外部实体注入 (XXE防护)
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 5266
Xml实体注入漏洞姿势总结
XXE&XML漏洞详解
剁椒鱼头没剁椒的博客
12-29 3932
这里我对XML也不是太懂,无法对其进行解释,同时也怕解释出现错误,使其误导,这里我发一下参考链接。XML教程文档类型定义(DTD)可定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于XML文档中(内部引用),也可作为一个外部引用。内部声明DTD: 引用外部DTD: DTD文档中有很多重要的关键字如下:DOCTYPE(DTD的声明)
setFeature的妙用,解析XML时,外部注入预防即XXE攻击
scmrpu
12-29 1万+
SAX2采用feature和property这两种办法对解析器进行设置。SAX不但没有限制feature的种类,还鼓励其他组织和个人创建自己的feature。这些feature表示解析器的功能,通过设置feature,我们可以控制解析器的行为,例如,是否对XML文件进行验证等等。下面我们演示如何使用feature。XMLReader中有getFeature和setFeature两个方法。getFe
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 4469
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
JAXB处理XML对象
12-22
本文主要讲解JAXB来处理对象XML进行互。 其中关于CDATA数据的处理参考: Jaxb如何优雅的处理CData 这篇文章的实现,并略作改动。 二、常用注解(TODO) 三、封装 3.1 pom依赖(TODO) 3.2 CDataAdapter ...
Jaxb2实现JavaBean与xml的方法详解
08-30
主要介绍了Jaxb2实现JavaBean与xml的方法,简单介绍了JAXB的概念、功能及实现JavaBean与xml的具体操作技巧,需要的朋友可以参考下
JAXB工具类 xml为java对象 java对象xml
05-17
JAXB工具类 xml为java对象 java对象xml ,本人亲测,可以使用!!!
JAXBUtil使用JAXB进行xml和bean互
04-11
使用JAXB进行xml和bean互,其中为一个简单的demo,包含换工具类和一个简单的bean的定义,如果有多级节点需要定义多个bean,将子节点作为一个属性放置到主节点类中
使用JAXB实现JAVA对象XML字符串的互相
勿忘初心的博客
05-13 5469
关于JAXB的介绍,见:http://blog.csdn.net/qq_32786873/article/details/71715254 测试类: package com.solin.test; import java.util.ArrayList; import java.util.List; public class Test { public static void main
marshaller java 乱码_在web环境中使用JAXB技术对XML文件进行序列化和反序列化时如何避免乱码...
weixin_30854435的博客
02-13 450
xml文件在本地是以UTF-8编码进行保存的,里面有一些中文字符串,通过以下反序列化代码生成了JAVA对象JAXBContext jaxbContext ;Object object = null ;try {jaxbContext = JAXBContext.newInstance(clazz);//jaxbContext = JAXBContext.newInstance(Logic.clas...
解读JAXBContext类
mry6的博客
03-25 7011
解读JAXBContext类 JAXBContext是整个JAXB API的入口.主要用来构建JAXB实例(newInstance()),并提供与XML/Java绑定信息相关的抽象方法,如编组(createMarshaller())、解组(createUnmarshaller())和验证(createValidator()).其中与验证相关的方法已废弃(Deprecated),被Validator...
使用SAX处理XML文档
Eric.Jonah!
08-27 2305
                使用SAX处理XML文档http://www-900.ibm.com/developerWorks/cn/xml/x-saxhandle/index.shtml内容:SAX的基本情况理解并使用SAX一个实例
jaxb根据xml文件换成相应对象
最新发布
06-01
使用JAXBXML文件换为Java对象,需要按照以下步骤进行: 1. 创建Java类,代表XML中的元素或属性。 2. 使用JAXB提供的工具将Java类换为XSD schema文件。 3. 使用JAXB提供的工具将XSD schema文件换为Java类...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值