2. 程式人生 > 其它 >【JAVA XXE攻擊】微信支付官方迴應XML外部實體注入漏洞

【JAVA XXE攻擊】微信支付官方迴應XML外部實體注入漏洞

阿新 發佈:2020-12-16

技術標籤:xmlapache區塊鏈jsonmybatis

官方迴應連線:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

其中明確指出了程式碼修改的地方。

然後看到此文件後,我就改公司專案中程式碼,專案中支付時並沒有涉及到XML解析,

而是在支付後,微信回撥告知支付結果時,我這邊接受時需要解析XML。

    /**
     * 解析xml,返回第一級元素鍵值對。如果第一級元素有子節點,則此節點的值是子節點的xml資料。
     * @param strxml
     * @return
     * @throws JDOMException
     * @throws IOException
     */
    public static Map doXMLParse(String strxml) throws JDOMException, IOException {
        if(null == strxml || "".equals(strxml)) {
            return null;
        }
        
        Map m = new HashMap();
        InputStream in = HttpClientUtil.String2Inputstream(strxml);
        SAXBuilder builder = new SAXBuilder();

        Document doc = builder.build(in);
        Element root = doc.getRootElement();

        List list = root.getChildren();
        Iterator it = list.iterator();
        while(it.hasNext()) {
            Element e = (Element) it.next();
            String k = e.getName();
            String v = "";
            List children = e.getChildren();
            if(children.isEmpty()) {
                v = e.getTextNormalize();
            } else {
                v = XMLUtil.getChildrenText(children);
            }
            
            m.put(k, v);
        }

很明顯,我這個原有的程式碼中解析XML時,並沒有“DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();”,而是SAXBuilder builder = new SAXBuilder();

後來發現當使用SAXBuilder時 ,可以這樣處理以達到防止XXE攻擊。

/**
     * 解析xml,返回第一級元素鍵值對。如果第一級元素有子節點,則此節點的值是子節點的xml資料。
     * @param strxml
     * @return
     * @throws JDOMException
     * @throws IOException
     */
    public static Map doXMLParse(String strxml) throws JDOMException, IOException {
        if(null == strxml || "".equals(strxml)) {
            return null;
        }
        
        Map m = new HashMap();
        InputStream in = HttpClientUtil.String2Inputstream(strxml);
        SAXBuilder builder = new SAXBuilder();

        // 這是優先選擇. 如果不允許DTDs (doctypes) ,幾乎可以阻止所有的XML實體攻擊
        String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
        builder.setFeature(FEATURE, true);

        FEATURE = "http://xml.org/sax/features/external-general-entities";
        builder.setFeature(FEATURE, false);

        FEATURE = "http://xml.org/sax/features/external-parameter-entities";
        builder.setFeature(FEATURE, false);

        FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
        builder.setFeature(FEATURE, false);

        Document doc = builder.build(in);
        Element root = doc.getRootElement();

        List list = root.getChildren();
        Iterator it = list.iterator();
        while(it.hasNext()) {
            Element e = (Element) it.next();
            String k = e.getName();
            String v = "";
            List children = e.getChildren();
            if(children.isEmpty()) {
                v = e.getTextNormalize();
            } else {
                v = XMLUtil.getChildrenText(children);
            }
            
            m.put(k, v);
        }
        
        //關閉流
        in.close();
        
        return m;
    }

即:設定builder的feature ,

/ 這是優先選擇. 如果不允許DTDs (doctypes) ,幾乎可以阻止所有的XML實體攻擊
        String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
        builder.setFeature(FEATURE, true);

        FEATURE = "http://xml.org/sax/features/external-general-entities";
        builder.setFeature(FEATURE, false);

        FEATURE = "http://xml.org/sax/features/external-parameter-entities"; builder.setFeature(FEATURE, false); FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd"; builder.setFeature(FEATURE, false);

相關推薦

JAVA XXE攻擊支付官方迴應XML外部實體注入漏洞

技術標籤:xmlapache區塊鏈jsonmybatis 官方迴應連線:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

XXE XML外部實體注入 漏洞

0x00 XML 基礎知識 ⅩML 介紹 XML 是 The Extensible Markup Language(可擴充套件標識語言)的簡寫。

洛谷7116步數(拉格朗日插值)

點此看題面 有一個\\(k\\)維場地,第\\(i\\)維範圍為\\([1,w_i]\\)。 有\\(n\\)個操作,每個操作可以表示為將某一維的座標\\(±1\\)。

浙政釘-專有釘釘小程式-開發踩坑實記

浙政釘】微信-專有釘釘小程式-開發踩坑實記 最近有個需求,要將微信小程式轉為浙政釘小程式進行開發。一開始的思路是先將微信小程式轉為釘釘小程式。(至於為什麼,我只能說釘釘的開發文件寫的要比專有釘釘的詳

Java後端對接支付(小程式、APP、PC端掃碼)包含查單退款

目錄1.三種支付統一準備工作2.API統一下單3.NATIVE統一下單4.APP統一下單5.三種支付方式返回結果6.查單7.退款8.補充首先我們要明確目標,我們點選微信支付官網,我們主要聚焦於這三種支付方式,其中JSPAI與APP主要與un

悟空雲課堂第二十三期:對XML外部實體引用的不當限制(CWE-611 :Improper Restriction of XML External Entity Reference)

技術標籤:悟空雲課堂安全安全漏洞資訊保安程式碼規範java 關注公眾號“中科天齊軟體安全中心”(id:woocoom),一起漲知識!

支付踩坑記02v3版支付簡單示例

v3版生成訂單程式碼 有好多想說了,後續補充 /// <summary> /// Js下單API /// </summary>

支付踩坑記01v2版支付簡單示例

v2版生成訂單程式碼 沒什麼好說的 public string WeChatpayJSAPI(string money, string openid,string partner_trade_no,string desc)

Java後臺實現支付退款

支付流程 都是我自己工作中開發的,親測可用,不喜勿噴。 controller中我是這麼寫的,你們需要根據自己的業務需求改動。ResponseBean是我自己封裝的,你們可以改成你們想要的形式。

Java呼叫支付功能的方法示例程式碼

Java 使用支付 前言百度搜了一下支付,都描述的不太好,於是乎打算自己寫一個案例,希望以後拿來直接改造使用。

支付之H5支付java

H5支付以及場景介紹:https://pay.weixin.qq.com/wiki/doc/api/H5.php?chapter=15_1 H5支付是指商戶在微信客戶端外的移動端網頁展示商品或服務,使用者在前述頁面確認使用微信支付時,商戶發起本服務呼起微信客戶端進

小程式實現自動化測試

https://www.cnblogs.com/Test-xiaobai/p/9066331.html 山雨欲來風滿樓,最近微信小程式相關開發文章吹遍大江南北,亦有摧枯拉朽永珍更新之勢。問小程式形為何物,直教IT眾生怡情悅性高潮迭起。作為一名有著遠大理想

技巧小程式快速新建頁面資料夾技巧

小程式快速新建頁面小技巧 在開發者工具中,找到aap.json檔案,在pages欄位中寫入自己需要新增的頁面資料夾路徑,注意:不要寫檔名! 示例: 新增前,只有兩個頁面,index和logs

Java中的支付(3):API V3對伺服器響應進行簽名驗證

1. 前言 牢記一句話:公鑰加密,私鑰解密;私鑰加簽,公鑰驗籤。 微信支付V3版本前兩篇分別講了如何對請求做簽名和如何獲取並重新整理微信平臺公鑰,本篇將繼續展開如何對微信支付響應結果的驗籤。

java支付功能實現原始碼

提示:僅支付功能模組類,可供參考,可點贊 一、java後臺實現原始碼 package cn.xydx.crowdfunding.controller;

支付模式二java

這個星期寫了下支付模式二,在這裡進行下整理 支付官方文件 1. 需要的配置..具體看下面的連結.

為了Java支付V3開發包,我找出了支付文件至少六個錯誤

1. 前言 最近忙的一批,難得今天有喘氣的機會就趕緊把最近在開發中的一些成果分享出來。前幾日分享了自己寫的一個支付V3的開發包payment-spring-boot-starter,就忙裡偷閒完善了一波。

Java支付介面使用方法詳解(下)

技術標籤:技能使用程式碼相關知識介面java 接上文(Java支付介面使用方法詳解(下)),使用如下:

Java支付介面使用方法詳解(上)

技術標籤:技能使用程式碼相關知識java介面 前言 距離上次發文章已經過去好久了,主要這段時間內寫的東西有點簡單,基本都見過了,都是crud,現在將最近寫過的微信支付,附上一份供大家參考。互相學習,互相進步

乾貨小程式如何讓view標籤中內容居中

技術標籤:html+css+js小程式小程式csshtmlflex .container{ display: flex;/*設定顯示樣式**/