7z apache解析漏洞_XXE 漏洞代码及修复代码整理

最新推荐文章于 2023-09-08 14:30:00 发布
VIP文章 最新推荐文章于 2023-09-08 14:30:00 发布
阅读量729 收藏 1
点赞数 1
文章标签: 7z apache解析漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_27034523/article/details/112399336
版权

XML原理

XXE:XML External Entity 即XML外部实体注入攻击。是由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体,通过外部实体SYSTEM请求本地文件uri,通过某种方式返回本地的文件内容,导致了XXE漏洞。

java中出现的场景

poc.xml

<?xml version="1.0" encoding="ISO-8859-1" ?>
        <!DOCTYPE example [
                <!ELEMENT example ANY >
                <!ENTITY file SYSTEM "http://localhost:10000" >
                ]>
<example>&file;</example>

DocumentBuilderFactory

漏洞代码

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
        String FEATURE = null;
//        dbf.setExpandEntityReferences无法防止xxe
        dbf.setExpandEntityReferences(false);
        DocumentBuilder documentBuilder = dbf.newDocumentBuilder();
        Document document = documentBuilder.parse(new File("poc.xml"));

修复代码

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
        String FEATURE = null;
        FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
        dbf.setFeature(FEATURE, true);
        FEATURE = "http://xml.org/sax/features/external-general-entities";
        dbf.setFeature(FEATURE, false);
        FEATURE = "http://xml.org/sax/features/external-parameter-entities";
        dbf.setFeature(FEATURE, false);
        FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
        dbf.setFeature(FEATURE, false);
        dbf.setXIncludeAware(false);
//        dbf.setExpandEntityReferences无法防止xxe
        dbf.setExpandEntityReferences(false);
        DocumentBuilder documentBuilder = dbf.newDocumentBuilder();

DOMParser

漏洞代码

DOMParser domParser = new DOMParser();
domParser.parse(new FileInputStream(new File("src/main/java/xxe/poc.xml")));

修复代码

DOMParser domParser = new DOMParser();
// Do not expand entity references     dom
最低0.47元/天 解锁文章
thomasschulzz
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SCAN_XXE:利用XML XXE漏洞
05-07
SCAN_XXE 利用XML XXE漏洞
XXE漏洞
m_de_g的博客
08-22 134
XXE漏洞 1.介绍XXE漏洞 XML外部实体注入(XML External Entity) 简称XXE漏洞,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声名、DTD文档类型定义(可选)、文档元素。 其中,文档类型定义(DTD)可以是内部声明也可以引用外部DTD,如下所示。 ·内部声明DTD格式:<!DOCTYPE 根元素[元素声明]> ·引用外部DTD格式:<!DOCTYPE 根
XXE漏洞(XML外部实体注入)
whoim_i的博客
02-20 4301
目录什么是XXE基础知识基本利用 什么是XXE XXE(XML External Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并...
XXE漏洞详解与利用
qq_56438857的博客
08-11 7212
XML(Extensible Markup Language)意为可扩展性标记语言,我将介绍下 XML 的一些基础知识,方便你更好地理解漏洞原理。
漏洞总结——XXE(XML外部实体注入)
Spontaneous_0的博客
09-08 365
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞
Poi HSSFCellStyle.ALIGN_CENTER VERTICAL_CENTER 等爆红的解决办法
Tongyao
05-31 3182
Apache POI是画excel工具,大家在接收旧代码时会出现以下问题: HSSFCellStyle.ALIGN_CENTER HSSFCellStyle.VERTICAL_CENTER 等爆红 原因是版本出错: <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi-ooxml</artifactId> <version>4.1.2<
oxml_xxe:将XXEXML漏洞嵌入不同文件类型的工具
05-03
该工具旨在帮助测试OXML文档文件格式的XXE漏洞。 目前支持: DOCX / XLSX / PPTX ODT / ODG / ODP / ODS SVG XML格式 PDF(实验性) JPG(实验性) GIF(实验性) BH USA 2015演示: 关于该主题的博客文章...
第三节 简单XXE漏洞代码编写-01
09-15
第三节 简单XXE漏洞代码编写-01
Apache POI 安全漏洞
weixin_44778952的博客
11-12 2219
漏洞来源 http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201910-1431 漏洞详情 Apache POI是美国阿帕奇(Apache)软件基金会的一个开源函数库,它提供API给Java程序可对Microsoft Office格式档案进行读和写。 Apache POI 4.1.0及之前版本中存在代码问题漏洞。攻击者可借助特制的文档利用该漏洞读取本地文件系统中或网络资源中的文件。 参考资料 来源:lists.apache.org 链接:ht
android手机应用源码Imsdroid语音视频通话源码.rar
05-20
android手机应用源码Imsdroid语音视频通话源码.rar
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
05-20
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
JavaScript_超过100种语言的纯Javascript OCR.zip
05-20
JavaScript
JavaScript_跨平台React UI包.zip
05-20
JavaScript
node-v16.17.0-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
520表白代码.rar
05-20
520表白html5爱心代码
一个简单的HTML5和CSS代码示例,用于创建一个动态的爱心形状,并在网页上展示一个类似520表白的消息 这个示例使用了CSS的
05-20
520表白html5爱心代码 一个简单的HTML5和CSS代码示例,用于创建一个动态的爱心形状,并在网页上展示一个类似520表白的消息。这个示例使用了CSS的动画效果和HTML的结构。
智慧养老社区方案.pdf
05-20
智慧养老社区方案.pdf
不能联网怎么解决xxe漏洞 java代码
06-02
XXE漏洞是一种利用XML解析器的漏洞,攻击者可以通过构造恶意XML文件来获取敏感信息或者执行任意代码。解决XXE漏洞的一种方法是禁止外部实体的解析,可以使用以下Java代码实现: ```java DocumentBuilderFactory dbf...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值