java xpath 解析xml字符串_【缺陷周话】第 18期 — XPath 注入

最新推荐文章于 2022-06-19 18:17:05 发布
最新推荐文章于 2022-06-19 18:17:05 发布
阅读量689 收藏
点赞数
文章标签: java xpath 解析xml字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34093995/article/details/112086831
版权
本文详细介绍了XPath注入的原理、危害及示例,以JAVA代码为例展示了XPath注入漏洞的产生。通过修复代码演示了如何通过转义特殊字符防止XPath注入,并提供了避免此类问题的建议,包括输入验证、使用安全字符白名单及静态源代码分析工具。
摘要由CSDN通过智能技术生成

521f42b4e2346ba2deb61ef1c33d3b38.gif 聚焦源代码安全,网罗国内外最新资讯!

*声明:《缺陷周话》栏目系列文章由360代码卫士团队原创出品。未经许可,禁止转载。

代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并且已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

360代码卫士团队基于自主研发的国内首款源代码安全检测商用工具,以及十余年漏洞技术研究的积累,推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷,结合实例和工具使用进行详细介绍,旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

缺陷周话 • 第18期

XPath 注入         

1、XPath 注入

XPath 是一种用来在内存中导航整个XML树的语言,它使用路径表达式来选取XML文档中的节点或者节点集。XPath 的设计初衷是作为一种面向 XSLT 和 XPointer 的语言,后来独立成了一种W3C标准。而 XPath 注入是指利用 XPath 解析器的松散输入和容错特性&#

最低0.47元/天 解锁文章
陈华葵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【漏洞挖掘】——121、Xpath注入深入刨析
Fly_鹏程万里
06-28 136
XPath即为XML路径语言,是W3C XSLT标准的主要元素,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言。
Java开源的xpath解析器Jsoupxpath.zip
07-19
JsoupXpath 是一款纯Java开发的使用xpath解析html的解析器,xpath语法分析与执行完全独立,html的DOM树生成借助Jsoup,故命名为JsoupXpath.为了在java里也享受xpath的强大与方便但又苦于找不到一款足够强大的xpath解析器,故开发了JsoupXpath。JsoupXpath的实现逻辑清晰,扩展方便,支持几乎全部常用的xpath语法.http://www.cnblogs.com/ 为例 "//a/@href"; "//div[@id='paging_block']/div/a[text()='Next >']/@href"; "//div[@id='paging_block']/div/a[text()*='Next']/@href"; "//h1/text()"; "//h1/allText()"; "//h1//text()"; "//div/a"; "//div[@id='post_list']/div[position()1000]/div/h3/allText()"; //轴支持 "//div[@id='post_list']/div[self::div/div/div/span[@class='article_view']/a/num()>1000]/div/h3/allText()"; "//div[@id='post_list']/div[2]/div/p/preceding-sibling::h3/allText()"; "//div[@id='post_list']/div[2]/div/p/preceding-sibling::h3/allText()|//div[@id='post_list']/div[1]/div/h3/allText()"; 在这里暂不列出框架间的对比了,但我相信,你们用了会发现JsoupXpath就是目前市面上最强大的的Xpath解析器。 快速开始 如果不方便使用maven,可以直接使用lib下的依赖包跑起来试试,如方便可直接使用如下dependency(已经上传至中央maven库,最新版本0.1.1):    cn.wanghaomiao    JsoupXpath    0.1.1 依赖配置好后,就可以使用如下例子进行体验了!String xpath="//div[@id='post_list']/div[./div/div/span[@class='article_view']/a/num()>1000]/div/h3/allText()";String doc = "..."; JXDocument jxDocument = new JXDocument(doc); List<Object> rs = jxDocument.sel(xpath); for (Object o:rs){     if (o instanceof Element){             int index = ((Element) o).siblingIndex();             System.out.println(index);     }     System.out.println(o.toString()); } 其他可以参考 cn.wanghaomiao.example包下的例子 语法 支持标准xpath语法(支持谓语嵌套),支持全部常用函数,支持全部常用轴,去掉了一些标准里面华而不实的函数和轴,下面会具体介绍。语法可以参考http://www.w3school.com.cn/xpath/index.asp 关于使用Xpath的一些注意事项 非常不建议直接粘贴Firefox或chrome里生成的Xpa
sax xpath读取xml字符串
weixin_34379433的博客
07-26 115
public static void main(String[] args) throws ParserConfigurationException, SAXException, IOException, XPathExpressionException { // DocumentBuilderFactory domFactory = DocumentBuilderFactory ...
Java中使用xpathxml解析
weixin_33859665的博客
10-08 372
个人博客地址:https://www.vastyun.com xpath是一门在xml文档中查找信息的语言。xpath用于在XML文档中通过元素和属性进行导航。它的返回值可能是节点,节点集合,文本,以及节点和文本的混合等。在学习本文档之前应该对XML的节点,元素,属性,文本,处理指令,注释,根节点,命名空间以及节点关系有一定的了解以及对xpath也有了解。XML学习地址:http://www....
使用XPATHXML数据进行解析
陈希章@中国
06-20 4687
这一篇我总结一下,如何利用XPATH及相关技术对XML数据文档进行查询和处理 1. 首先还是来看一下范例数据xml version="1.0" encoding="utf-8" ?>Orders>--所有订单--> Order OrderID="1" OrderDate="2008-12-17">--一个订单--> OrderItems>--订单的明细--> It
java js 解析器_Java XPath解析
weixin_31475247的博客
02-16 217
XPath是万维网联盟(W3C)的官方推荐。它定义了一个语言在XML文件中查找信息。它被用于遍历XML文档的元素和属性。 XPath提供各种类型,可用于从XML文档查询相关的信息表现形式。什么是XPath?结构定义- XPath定义像元素,属性,文本,命名空间,处理指令,注释和文档节点的XML文档部分路径表达式 -XPath提供了强大的路径表达式选择的节点或在XML文档中的节点列表。标准功能 -...
JAVA通过XPath解析XML性能比较详解
08-31
Java 通过XPath解析XML是一种常见的数据提取和处理方式,尤其在处理复杂XML文档时,XPath提供了简洁而强大的查询语句。XPathXML Path Language)允许我们根据元素、属性以及它们之间的关系来定位XML文档中的节点。...
java使用xpath解析xml示例分享
09-04
Java中,XPath被用来解析XML文档,查找和操作XML中的特定节点。XPath基于XML文档的树形结构,允许我们通过简洁的表达式定位到树中的任何节点,包括元素、属性、文本等。以下是使用JavaXPath API解析XML文档的一...
JAVA JAXB 解析XML嵌套子节点为字符串
12-01
Java开发中,JAXB(Java Architecture for XML ...对于嵌套子节点,我们可以通过创建对应的Java类模型来解析,或者结合XPath来直接提取字符串。理解并熟练运用这些技术,能有效提高处理XML数据的效率和准确性。
纯C语言解析xml字符串
09-12
纯C语言解析xml字符串,有实例,保证可用,含makefile xmlparse.c xmlparse.h testxml.c 目录:/export/home/chcard/testxml 日志:/export/home/chcard/log testxml.c 是一个测试用例,包含了常用的方法,并有注解 ...
Java生成和解析XML格式文件和字符串的实例代码
09-04
本文将深入探讨如何使用Java生成和解析XML格式的文件和字符串,主要关注DOM方法,同时也会提及其他解析方式。 1、基础知识: Java解析XML主要有四种方法: - DOM(Document Object Model):W3C提供的接口,将整个...
XPathUtil,根据Xpath解析xml文件
01-15
根据xmlPath路径,找到对应的xml文件,进行解析!之前找了好多感觉和自己的需求不太一样,这个可以根据Xpath解析出来xml里所有的信息,十分好用 举个例子 xmlPath = "E://upload/xml/1580242.163.xml"; XPathUtil util = XPathUtil.newInstance(xmlPath); Product product = new Product(); String title = util.getSingleValue("book/title"); product.setTitle(title); String classification = util.getSingleValue("/book/info/classification"); product.setFenlei(classification); String language = util.getSingleValue("/book/info/language"); String yuYan = XPathUtil.LANUAGE_MAP.get(language); product.setYuYan(yuYan); String personname =util.getSingleValue("/book/info/authorgroup/author/personname"); String role = util.getDomAttribute("/book/info/authorgroup/author", "role"); String author = personname + " " + role; product.setAuthor(author); String personblurb = util.getSingleValue("/book/info/authorgroup/author/personblurb"); product.setAuthorRemarks(personblurb);
Java XML DOM解析xPath
weixin_30892889的博客
05-09 180
Java XML DOM解析xPath) (一) XML概念   在电子计算机中,标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种的信息比如文章等。它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 它非常...
java结合XPATH解析XML
可口可乐的博客
03-31 678
做自动化测试的人,都应该对XPATH很熟悉了,但是在用JAVA解析XML时,我们通常是一层层的遍历进去,这样的代码的局限性很大,也不方便,于是我们结合一下XPATH,来解决这个问题。 所需要的JAR包: dom4j.jar jaxen.jar xmlbeans.jar 具体的代码如下: 1 2 3 4 5 6 7 8 9 10 11 1
Xpath 解析xml
liu_xue_xue的专栏
06-19 325
xpath语法参考:XPath 语法 | 菜鸟教程
Java使用XPath解析XML
qq_33371372的博客
09-02 2329
XML文件: &lt;?xml version="1.0" encoding="utf8"?&gt; &lt;bookstore&gt; &lt;book&gt; &lt;title lang="USA"&gt;Harry Potter1&lt;/title&gt; &lt;author&gt;J K. Rowling1
JavaXPATH解析
noibug的博客
08-13 889
<?xml version="1.0" encoding="UTF-8" ?> <books> <book id = "1001"> <name>金苹果</name> <info>好吃</info> </book> <book id="1002"> <name>银苹果</name> <
JAVA - 【XML解析XPATH
04-21 943
目录 Xml与Html的区别 依赖的jar包 基本使用 <一> XML与HTML的区别 XML语法严格,HTML语法松散 XML区分大小写 XML标签必须闭合 XML主要用于数据存储,HTML用于数据显示 XML标签支持拓展,HTML中标签内置 <二> 依赖的jar包 dom4j.jar jaxen.jar <三> 基本使用 ...
java 解析 xml xpath_使用XPathJava解析XML
weixin_31043675的博客
02-12 160
现在,我想解析来自webservice的xml.对于解析,我使用了xpathjava.我有以下代码:package test.client;import com.sun.org.apache.xpath.internal.NodeSet;import java.io.FileReader;import java.io.StringReader;import javax.lang.model.el...
java xpath 解析xml字符串
最新发布
08-19
要使用Java XPath解析XML字符串,首先需要导入相关的包。您可以使用dom4j和jaxen这两个包来实现这个功能。您可以在您的项目中添加dom4j.jar和jaxen.jar这两个包。 接下来,您需要创建一个SAXReader对象,并使用该对象的read方法将XML字符串读取为一个Document对象。代码示例如下: 引用<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [JAVA - 【XML解析XPATH](https://blog.csdn.net/qq_42292831/article/details/105650087)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值