XML外部实体注入 
例:

InputStream is = Test01.class.getClassLoader().getResourceAsStream("evil.xml");//source

XMLInputFactory xmlFactory  = XMLInputFactory.newInstance();

XMLEventReader reader = xmlFactory.createXMLEventReader(is);  //sink

如果evil.xml文件中包含如下内容,就可能会造成xml外部实体注入

 <?xml version="1.0" encoding="ISO-8859-1"?>

 <!DOCTYPE foo [

 <!ELEMENT foo ANY >

 <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>

XML文件的解析与XXE防护

DOM 
DOM的全称是Document Object Model,也即文档对象模型。在应用程序中,基于DOM的XML分析器将一个XML文档转换成一个对象模型的集合(通常称DOM树),应用程序正是通过对这个对象模型的操作,来实现对XML文档数据的操作。

        import javax.xml.parsers.DocumentBuilder;

        import javax.xml.parsers.DocumentBuilderFactory;  

        ...

        DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

        System.out.println("class name: " + dbf.getClass().getName());

        // step 2:获得具体的dom解析器

        DocumentBuilder db = dbf.newDocumentBuilder();

        // step3: 解析一个xml文档,获得Document对象(根结点)

        Document document = db.parse(new File("candidate.xml"));

        NodeList list = document.getElementsByTagName("PERSON");

防护建议 1:优先选择. 完全阻止DTDs

    DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

    try {

      // 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击

      String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";

      dbf.setFeature(FEATURE, true);

        catch (ParserConfigurationException e) {

            // This should catch a failed setFeature feature

            logger.info("ParserConfigurationException was thrown. The feature '" +

                        FEATURE +

                        "' is probably not supported by your XML processor.");

            ...

        }

        catch (SAXException e) {

            // On Apache, this should be thrown when disallowing DOCTYPE

            logger.warning("A DOCTYPE was passed into the XML document");

            ...

        }

        catch (IOException e) {

            // XXE that points to a file that doesn't exist

            logger.error("IOException occurred, XXE may still possible: " + e.getMessage());

            ...

        }

防护建议 2:不能完全禁用DTDs

    DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

    try {

      // 如果不能完全禁用DTDs,最少采取以下措施

      FEATURE = "http://xml.org/sax/features/external-general-entities";

      dbf.setFeature(FEATURE, false);

      FEATURE = "http://xml.org/sax/features/external-parameter-entities";

      dbf.setFeature(FEATURE, false);

      // and these as well, per Timothy Morgan's 2014 paper: "XML Schema, DTD, and Entity Attacks" (see reference below)

      dbf.setXIncludeAware(false);

      dbf.setExpandEntityReferences(false);

      // And, per Timothy Morgan: "If for some reason support for inline DOCTYPEs are a requirement, then ensure the entity settings are disabled (as shown above) and beware that SSRF attacks(http://cwe.mitre.org/data/definitions/918.html) and denial of service attacks (such as billion laughs or decompression bombs via "jar:") are a risk."

      ...

        catch (ParserConfigurationException e) {

            // This should catch a failed setFeature feature

            logger.info("ParserConfigurationException was thrown. The feature '" +

                        FEATURE +

                        "' is probably not supported by your XML processor.");

            ...

        }

        catch (SAXException e) {

            // On Apache, this should be thrown when disallowing DOCTYPE

            logger.warning("A DOCTYPE was passed into the XML document");

            ...

        }

        catch (IOException e) {

            // XXE that points to a file that doesn't exist

            logger.error("IOException occurred, XXE may still possible: " + e.getMessage());

            ...

        }

SAX 
SAX的全称是Simple APIs for XML,也即XML简单应用程序接口。与DOM不同,SAX提供的访问模式是一种顺序模式,这是一种快速读写XML数据的方式。当使用SAX分析器对XML文档进行分析时,会触发一系列事件,并激活相应的事件处理函数,应用程序通过这些事件处理函数实现对XML文档的访问,因而SAX接口也被称作事件驱动接口。

        import javax.xml.parsers.SAXParser;

        import javax.xml.parsers.SAXParserFactory;  

        SAXParserFactory factory = SAXParserFactory.newInstance();

        //step2: 获得SAX解析器实例

        SAXParser parser = factory.newSAXParser();

        //step3: 开始进行解析

        parser.parse(new File("student.xml"), new MyHandler());

防护建议:参考DocumentBuilderFactory

JDOM 
JDOM(Java-based Document Object Model)是一个开源项目,它基于树型结构,利用纯JAVA的技术对XML文档实现解析、生成、序列化以及多种操作。

    import org.jdom.Attribute;

    import org.jdom.Document;

    import org.jdom.Element;

    import org.jdom.input.SAXBuilder;

    import org.jdom.output.Format;

    import org.jdom.output.XMLOutputter;  

    ...

       SAXBuilder builder = new SAXBuilder();

       Document doc = builder.build(new File("jdom.xml"));

       Element element = doc.getRootElement();

防护建议:

        SAXBuilder builder = new SAXBuilder();

        builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);

        builder.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true);

        builder.setFeature("http://xml.org/sax/features/external-general-entities", false);

        builder.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

        builder.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

DOM4J 
DOM4J(Document Object Model for Java),采用Java集合框架,并完全支持DOM、SAX和JAXP

StAX 
StAX(Streaming API for XML) 就是一种拉分析式的XML解析技术(基于流模型中拉模型的分析方式就称为拉分析)。StAX包括两套处理XML的API,分别提供了不同程度的抽象。它们是:基于指针的API和基于迭代器的API。 
可以让我们使用基于指针的API的接口是javax.xml.stream.XMLStreamReader(很遗憾,你不能直接实例化它),要得到它的实例,我们需要借助于javax.xml.stream.XMLInputFactory类。

//获得一个XMLInputFactory实例

XMLInputFactory factory = XMLInputFactory.newInstance();

//开始解析

XMLStreamReader reader = factory.createXMLStreamReader(new FileReader("users.xml"));

防护建议:

XMLInputFactory factory = XMLInputFactory.newInstance();

factory.setProperty(XMLInputFactory.SUPPORT_DTD, false);  //会完全禁止DTD

XMLStreamReader reader = factory.createXMLStreamReader(new FileReader("users.xml"));

微信支付的JAVA SDK存在漏洞,可导致商家服务器被入侵(绕过支付)XML外部实体注入防护的更多相关文章

  1. XML外部实体注入漏洞(XXE)

    转自腾讯安全应急响应中心 一.XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据.定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言.XML文档结构包括XML声 ...

  2. 【代码审计】CLTPHP_v5.5.3前台XML外部实体注入漏洞分析

    0x01 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chichu/ ...

  3. XXE(xml外部实体注入漏洞)

    实验内容 介绍XXE漏洞的触发方式和利用方法,简单介绍XXE漏洞的修复. 影响版本: libxml2.8.0版本 漏洞介绍 XXE Injection即XML External Entity Inje ...

  4. Pikachu-XXE(xml外部实体注入漏洞)

    XXE -"xml external entity injection"既"xml外部实体注入漏洞".概括一下就是"攻击者通过向服务器注入指定的xml ...

  5. Xml外部实体注入漏洞

    Xml外部实体注入漏洞(XXE) Xml介绍 XML 不是 HTML 的替代. XML 和 HTML 为不同的目的而设计: XML 被设计为传输和存储数据,其焦点是数据的内容. HTML 被设计用来显 ...

  6. PHP xml 外部实体注入漏洞学习

    XML与xxe注入基础知识 1.XMl定义 XML由3个部分构成,它们分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言:可扩展的样式语言(Exten ...

  7. 【JAVA XXE攻击】微信支付官方回应XML外部实体注入漏洞

    官方回应连接:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 其中明确指出了代码修改的地方. 然后看到此文档后,我就改公司项 ...

  8. XXE--XML外部实体注入漏洞

    XXE漏洞原理 XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部 ...

  9. XXE外部实体注入漏洞

    XML被设计为传输和存储数据,XML文档结构包括XML声明.DTD文档类型定义(可选).文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具.XXE漏洞全称XML E ...

随机推荐

  1. UVA 2451 Brackets sequence

    题目链接:https://icpcarchive.ecs.baylor.edu/index.php?option=com_onlinejudge&Itemid=8&category=9 ...

  2. 2019.02.16 spoj Query on a tree IV(链分治)

    传送门 题意简述: 捉迷藏强化版(带有边权,可以为负数) 思路:好吧这次我们不用点分树,我们用听起来更屌的链分治. 直接把树剖成若干条重链,这样保证从任意一个点跳到根节点是不会跳超过logloglog ...

  3. 使用freemarker对模板进行渲染

    最近项目中使用到了,对word模板进行编辑和渲染,所以使用到了模板引擎技术. 在项目中,我们前端使用的富文本编辑器,进行展示和保存(和word格式一致),后端采用了freemarker进行数据的渲染. ...

  4. elasticsearch之入门hello(java)一

    1.书写pom.xml文件 <dependencies> <dependency> <groupId>org.elasticsearch</groupId&g ...

  5. Beta冲刺 (4/7)

    Part.1 开篇 队名:彳艮彳亍团队 组长博客:戳我进入 作业博客:班级博客本次作业的链接 Part.2 成员汇报 组员1(组长)柯奇豪 过去两天完成了哪些任务 共享编辑文章的后端数据处理 展示Gi ...

  6. 一行代码实现自定义转场动画--iOS自定义转场动画集

    WXSTransition 这款非常不错,力推 这是作者源码简书地址: http://www.jianshu.com/p/fd3154946919 这是作者源码github地址 https://git ...

  7. Oracle服务器和客户端安装在同一台机器的情况

    最近重装了系统,所有的开发环境需要重新部署一下,因此重新安装了Oracle,结果原来没有问题,这一次又碰到了几个问题(tns12154和tns03505),让我好一搞啊.不过又重新对Oracle加深了 ...

  8. ASP.NET MVC下使用AngularJs语言(八):显示html

    在Angularjs显示html文本,如果按照一般处理它.它只能页中显示没经解释文本. 在ASP.NET MVC添加一个控制器: 创建angularjs控制器: pilotApp.controller ...

  9. MyBatis 源码分析 - 配置文件解析过程

    * 本文速览 由于本篇文章篇幅比较大,所以这里拿出一节对本文进行快速概括.本篇文章对 MyBatis 配置文件中常用配置的解析过程进行了较为详细的介绍和分析,包括但不限于settings,typeAl ...

  10. hadoop安装hive及java调用hive

     1.安装hive 在安装hive前,请确保已经安装好了hadoop,如未安装,请参考centoos 安装hadoop集群进行安装: 1.1.下载,解压 下载hive2.1.1:http://mirr ...