本文深入剖析了JavaMelody 1.73.1版本中的XXE漏洞(CVE-2018-15531),该漏洞可能导致攻击者读取服务器敏感信息。通过分析修复后的代码,了解到增加禁用DTD和外部实体的代码是防止此类漏洞的关键。同时,文中提供了漏洞测试步骤和修复建议,包括升级到1.74.0版本或手动禁止XML解析时的DTD和外部实体支持。
0x01 背景
JavaMelody是一款在生产和QA环境中对JAVA应用以及应用服务器(Tomcat、Jboss、Weblogic)进行监控的工具,可以通过图表给出监控数据,方便研发运维等找出响应瓶颈、优化响应等。
近日发布了1.74.0版本,修复了一个XXE漏洞,漏洞编号CVE-2018-15531。攻击者利用漏洞,可以读取JavaMelody服务器上的敏感信息。
0x02 漏洞分析
漏洞修复的commit地址如下:
增加了两行代码,作用分别是禁用DTD和禁用外部实体,如图所示:
增加这两行代码之后,攻击者就无法使用XXE漏洞来进行文件读取。
查看修复前的代码文件src/main/java/net/bull/javamelody/PayloadNameRequestWrapper.java,如图:
使用StAX来对XML进行解析,未禁用DTDs和外部实体,再看看那些地方调用了parseSoapMethodName()方法,如图:
最低0.47元/天 解锁文章
扫一扫
320
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
