关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补

7月4日微信发来通知说存在XML实体注入漏洞,请修改。

由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。


最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实现,其实也是SAXReader实现的,再查看SAXReader源码,里面也有一个方式setFeature,于是找到了处理方式


Document doc = null;
    
SAXReader reader = new SAXReader();

try{
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
}


catch (SAXException e) {
// On Apache, this should be thrown when disallowing DOCTYPE
wtbapi.Log.log("A DOCTYPE was passed into the XML document","GJ.java文件错误2");
}

String encoding = getEncoding(str);

InputSource source = new InputSource(new StringReader(str));
source.setEncoding(encoding);

  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值