关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补

最新推荐文章于 2023-01-27 15:26:06 发布
最新推荐文章于 2023-01-27 15:26:06 发布
阅读量5.7k 收藏 5
点赞数 2
分类专栏: 漏洞修补 文章标签: XXE dom4j 微信支付
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wtbapi/article/details/80944244
版权

7月4日微信发来通知说存在XML实体注入漏洞,请修改。

由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。


最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实现,其实也是SAXReader实现的,再查看SAXReader源码,里面也有一个方式setFeature,于是找到了处理方式


Document doc = null;
    
SAXReader reader = new SAXReader();

try{
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
}


catch (SAXException e) {
// On Apache, this should be thrown when disallowing DOCTYPE
wtbapi.Log.log("A DOCTYPE was passed into the XML document","GJ.java文件错误2");
}

String encoding = getEncoding(str);

InputSource source = new InputSource(new StringReader(str));
source.setEncoding(encoding);

doc = reader.read(source);
if (doc.getXMLEncoding() == null) {
  doc.setXMLEncoding(encoding);

}


其中getEncoding(String)方法是DocumentHelper内部的方式


private static String getEncoding(String text)
  {
String result = null;

String xml = text.trim();
if (xml.startsWith("<?xml"))
{
  int end = xml.indexOf("?>");
  String sub = xml.substring(0, end);
  StringTokenizer tokens = new StringTokenizer(sub, " =\"'");
  while (tokens.hasMoreTokens())
  {
String token = tokens.nextToken();
if ("encoding".equals(token))
{
  if (!tokens.hasMoreTokens()) {
break;
  }
  result = tokens.nextToken(); break;
}
  }
}
return result;

  }


有三个包要引入一下

import org.xml.sax.InputSource;
import org.xml.sax.SAXException;
import java.util.StringTokenizer;

wtbapi
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dom4j-xml-injection:dom4j xml注入漏洞的概念证明
04-29
dom4j-xml-注入 这是概念证明,显示了dom4j上的XML注入漏洞。 该项目具有三个子模块,除了dom4j版本外,这些子模块相同。 易受攻击的模块使用2.1.0,安全模块使用2.1.1,旧版模块使用1.6。 所有模块均具有描述该漏洞的相同测试。 该测试在易受攻击的模块和旧版模块上变为绿色,但在安全模块上失败。 要检查生成的XML文件中是否存在易受攻击的模块,只需在./vulnerable-version/output.xml查找输出文件./vulnerable-version/output.xml 要检查所生成的旧模块的XML文件,只需在./vulnerable-version/output.xml查找输出文件。
WEB安全之XXE实体注入漏洞.pdf
12-12
WEB安全之XXE实体注入漏洞
XXE代码审计以及XXE漏洞修复
01-27 1734
java XXE代码审计 java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式 使用DOM解析XML protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String result=""; try { //DOM
Spring IOC对象的模拟实现&避雷一个 dom4j BUG
ShuoGuangNian的博客
07-17 571
Spring IOC对象的模拟实现&避雷一个 dom4j BUG
PHP XXE漏洞
weixin_30849591的博客
01-24 1082
PHP xml 外部实体注入漏洞XXE) 1.环境 PHP 7.0.30Libxml 2.8.0Libxml2.9.0 以后 ,默认不解析外部实体,对于PHP版本不影响XXE的利用 2.原理介绍 XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。XML特点,XML 被设计用来结构化、...
XML外部实体注入漏洞- XXE
weixin_40230278的博客
08-05 846
XML外部实体注入漏洞- XXE 概览: 实验内容 影响版本: 漏洞介绍 实验结果分析与总结 修复方案 实验内容 介绍XXE漏洞的触发方式和利用方法,简单介绍XXE漏洞修复。 影响版本: libxml2.8.0版本 漏洞介绍 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体...
XXE(外部实体注入漏洞)
dinghuan2011的专栏
09-11 3890
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/zhangxing52077/article/details/80932730 1.场景还原    近日,微信发来警告通知,告知平台微信支付可能存在XXE(外部实体注入漏洞),笔者根据微信官方技术文档及时修复了该漏洞,分享出来希望能够对大伙有所帮助 2.原因分析   所谓的外部实体注入漏洞,主...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
WebGoat8-xxe注入漏洞分析
最新发布
09-15
4. 使用安全的 XML 解析器:使用安全的 XML 解析器,以防止攻击者构造特殊的 XML 实体。 WebGoat8 中的 XXE 注入漏洞 WebGoat8 是一个开源的 Web 应用程序安全测试框架,提供了多种漏洞测试环境,包括 XXE 注入...
(39.2)【XXE漏洞专题】XXE原理、产生、检测、危害、利用、示例
04-26 3621
【专题】XXE入门
微信XXE漏洞复现
xuechangchun007的专栏
07-10 2160
7月4号微信SDK曝出漏洞,现在回现漏洞出现的过程,以下方式用JAVA 的SpringBoot实现。强调:只是技术研究,不准用于非法途径。熟悉了这些漏洞才能让系统更健壮有两个工程,一个是模拟商户端的server,有一个支持微信回调的接口;一个是攻击方的server,有一个可以接收请求的方法。创建一个商家的springboot工程,端口8080配置springboot可以访问静态文件,pom.xml...
开源组件风险修复,升级版本就够了吗?
热门推荐
cenlois的博客
03-12 1万+
通常情况下开源组件风险的修复建议是升级版本。但是这样就够了么?近日,开源安全研究院研究员发现了风险修复里一些很有意思的点。 1.开源安全研究院先是对MeterSphere的1.18.0版本进行了开源组件的安全检测发现了存在风险并向MeterSphere提出了修复的建议,MeterSphere也对此表示了感谢。 2.随后绿盟发现MeterSphere开源持续测试平台的三处漏洞并上报,MeterSphere对此表示了感谢并且升级版本为1.18.1。 3.这时开源安全研究院开始思考为何最初...
documentHelper解析xml获取想要的数据
weixin_45427945的博客
01-27 2265
documentHelper解析xml
org.dom4j.DocumentException: null Nested exception: null解决方法
CeasarD的博客
09-16 9923
由于最近在学习使用Spring架构,经常会遇到与xml文档打交道,今天遇到了此问题,特来分享一下解决方案。 出错原因: 很明显是因为找不到文件路径。这个原因是因为我使用了*.clas.getResourceAsStream(xmlFilePath)来进行xml文档的路径提供。使用这个方法时,对xml文档的路径安放有一定要求,只能在当前路径下进行搜索,不能使用绝对路径和相对路径,所以安放路径不正
dom4j解析XML字符串时出现org.dom4j.DocumentException错误
iljsansan的专栏
05-25 1782
  2007年10月20日 星期六 00:22 Nested exception: The processing instruction target matching "[xX][mM][lL]" is not allowed. 因为XML字符串的开头多了一个换行   去除xml字符串中空格、换行、制表等的方法如下: import java.util.re...
org.dom4j.DocumentException: null Nested exception: null
牛栏山矿泉水
01-10 584
1、错误描述 org.dom4j.DocumentException: null Nested exception: null at org.dom4j.io.SAXReader.read(SAXReader.java:484) at org.dom4j.io.SAXReader.read(SAXReader.java:343) at com.you.dom.utils.Reader.ma...
dom4j.DocumentHelperXXE注入攻击问题
07-14
针对 "dom4j.DocumentHelper" 的 XXE 注入攻击问题,我可以提供一些解决方案。 XXE(XML External Entity)注入攻击是一种利用 XML 解析漏洞的攻击方法,攻击者可以通过构造恶意的 XML 数据来读取、替换或者删除...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值