xml实体注入代码Java_Spring Framework多个XML外部实体注入漏洞(CVE-2013-4152)

最新推荐文章于 2024-02-22 17:16:02 发布
最新推荐文章于 2024-02-22 17:16:02 发布
阅读量222 收藏
点赞数
文章标签: xml实体注入代码Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35032861/article/details/114824280
版权

发布日期:2013-08-22

更新日期:2013-08-25

受影响系统:

SpringSource Spring Framework 3.x

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 61951

CVE(CAN) ID: CVE-2013-4152

Spring Framework是一个开源的Java/Java EE全功能栈(full-stack)的应用程序框架, 以Apache许可证形式发布,也有.NET平台上的移植版本。

Spring OXM 3.0.0-3.2.3、4.0.0.M1,Spring MVC 3.0.0-3.2.3、4.0.0.M1、4.0.0.M2存在多个XML外部实体注入漏洞,攻击者可利用这些漏洞获取敏感信息。

*>

建议:

--------------------------------------------------------------------------------

厂商补丁:

SpringSource

------------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

0b1331709591d260c1c78e86d0c51c18.png

lie zi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
springxml外部注入漏洞(CVE-2013-4152)
dingo的小黑屋
11-05 601
8月22号spring爆了一个xml外部注入漏洞(CVE-2013-4152),漏洞链接: http://www.nsfocus.net/vulndb/24471 这个其实是一个比较老的xml注入漏洞,不仅仅是 java, php和python等一些语言的xml解析库都受影响。 简单描述就是:如果应用有这样的功能 —— 程序从外部获取用户控制的xml,并且解析这些xml,由于xml中可以...
Spring 框架相关漏洞详解合集
zjjcchina的博客
01-19 4232
虽说是 Spring 框架漏洞,但以下包含并不仅 Spring FrameworkSpring Boot,还有 Spring Cloud,Spring Data,Spring Security 等。 CVE-2010-1622 Spring Framework class.classLoader 类远程代码执行 影响版本:SpringSource Spring Framework 3.0.0 - 3.0.2、SpringSource Spring Framework 2.5.0 - 2.5.7
Spring-Framework 系列(二)- 从最基本的 XML 配置走进 Spring
吃你的西瓜皮
09-09 143
每天都强一点! 杂说 近些年使用这种spring.xml文件配置的工程,是越来越稀少了(这里将一些特殊领域排除了,例如:银行,政府……,可能还有使用struct的吧。。),很多小伙伴估计入手就是SpringBoot,直接就是各种注解满天飞,估计都没见过这种老古董。 我为啥会想着从spring.xml学习spring呢?SpringBoot也是从Spring进化来的,也是基于Spring做了更好的封装,封装好就有着使用易用性友好性(确实好用,不黑不吹),但是从某种角度上,也变得不易理解了(个人理解哈)
cve-2010-1622 漏洞全分析
dingo的小黑屋
03-10 3132
这是大概两年前刚学习spring源码的时候写的一篇文章。一直没发出来,最近有点时间,整理下发在了博客上。by dingo   一、简介        Cve-2010-1622是spring框架在2010年被发现的一个漏洞(我知道很古老),该漏洞可以让攻击者通过url等方式注入自己的代码,并在服务端执行。如果服务器权限设置不当,甚至可以让攻击者执行自定义的任意代码。   二、准备 ...
java框架漏洞_Spring 框架漏洞集合
weixin_42514750的博客
02-25 5494
虽说是Spring框架漏洞,但以下包含并不仅Spring FrameworkSpring Boot,还有Spring Cloud,Spring Data,Spring Security等。CVE-2010-1622 Spring Framework class.classLoader类远程代码执行影响版本:SpringSource Spring Framework 3.0.0 - 3.0.2、S...
MS11-049:Microsoft XML Editor 信息泄露漏洞(2543893)(CVE-2011-1280)
02-09
当解析特别构建的 Web Service Discovery (.disco) 文件时,外部 XML 实体可接受不受信任的用户输入。远程攻击者可通过诱骗用户打开特别构建的 .disco 文件来利用此问题,从而导致敏感信息泄露。 Microsoft 已发布一...
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
这篇文章提供了一个关于CVE-2020-29436的详细复现过程,对于理解和防范XML外部实体注入漏洞具有实际意义。及时更新软件、加强安全配置以及理解潜在攻击方式是防止此类攻击的关键。 参考链接: 1. ...
一步步实现Spring框架(二)XML注入
04-28
实现了XML注入Bean,为bean注入bean,构造注入,Map,List,Set,Property 注入
XML 指南XML 实例XML 测验XML 基础
03-01
Empire Burlesque Bob Dylan USA Columbia 10.90 1985 Hide your heart Bonnie Tyler UK CBS Records 9.90 1988 . . . . 即使使用CSS的显示效果很好,我们不认为使用CSS样式单显示XML文档是未来Web开发的趋势。我们相信,使用XSL程序格式化XML文档将会是未来的趋势,目前最主要的浏览器都支持这种技术。 -------------------------------------------------------------------------------- 使用XML创建未来的主页? 你愿意使用XML来创建你未来的网站么? 不,我不认为这是一个好主意。我们也不拒绝去做这样一个尝试:A homepage written in XML. 我们不相信XML会直接用于创建未来的Web页面。
cve-2012-4681的分析记录
dingo的小黑屋
11-05 556
一、简介 cve-2012-4681是去年8月份爆出的java沙盒的漏洞漏洞是利用java的特性,从受限制的沙盒代码中调用系统信任的代码,间接修改了java.beans.Statement类的参数 [code="java"]private final AccessControlContext acc = AccessController...
XML试题解析
目前专注区块链相关技术的学习与分享
04-22 769
今天做了一下XML的面试题。有的题目不是很熟悉,发现网上没有解析,今天来自己分析一下答案。 已知xslt片段:<xsl:iftest=”roundOff(0.5)”></xsl:if>,test语句的返回值是(C)。(选择一项) a)True b)False c)...
XXE漏洞XML外部实体注入
whoim_i的博客
02-20 4343
目录什么是XXE基础知识基本利用 什么是XXE XXE(XML External Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体外部参数实体)做合适的处理,并...
【网络安全】XXE--XML外部实体注入
边缘拼命划水的小陈
04-24 1015
XML外部实体注入XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
利用 XML 外部实体注入
blacklordking的博客
06-21 394
在现实生活中大量存在有关系的数据,XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签和结束标签,在开始标签和结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。(在XML中,用ELEMENT表示元素,用ENTITY表示实体
XML实体注入
weixin_55190422的博客
09-25 467
XML实体注入 首先介绍下基础知识把 XML大体格式如下: 接下来我以一个题目讲解 首先题目已经告诉我们了这是一道关于XML的题目 那么怎么做呢 我们打开靶机发现是一个登录界面 我们审查网页源代码 发现里面还有个dologin.php类似于PHP源码。所以我们考虑BP抓包发现是个XXE漏洞Accept: application/xml, text/xml, */*; q=0.01 X-Requested-With: XMLHttpRequest 我们用这个格式payl
xml 设值注入举例ref_XML外部实体注入
weixin_39873177的博客
11-21 308
一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD<!DOCTYPE 根元素 [元素声明]>引...
XXE实体注入(超详细!)
最新发布
bdfcfff77fa的博客
02-22 1147
程序分析:SYSTEM关键字令XML解析器读取了C:/phpStudy/scms/conn/conn.php里面的内容并进行base64编码赋值给了实体file,同时去访问了炮台上的1.xml,在1.xml会将实体file里面的值当成$_GET获得的id传参,去访问了2.php,在2.php里面将id传参的值记录下来,写进了3.txt文档里。访问http://59.63.200.79:8207/adminer.php ,输入账号,密码,库名进行登录,登录成功。将1.txt的东西,放入test这个变量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值