1. 程式人生 > >webservice XML實體注入漏洞解決方案

webservice XML實體注入漏洞解決方案

  1. 漏洞描述
    目標存在webservice XML實體注入漏洞。XML是可擴充套件標記語言,標準通用標記語言的子集,是一種用於標記電子檔案使其具有結構性的標記語言。XML文件結構包括XML宣告、DTD文件型別定義(可選)、文件元素。當允許引用外部實體時,通過構造惡意內容,可導致讀取任意檔案、執行系統命令、探測內網埠、攻擊內網網站等危害。
  2. 解決方案
    (1) 關閉XML解解析函式的外部實體。
    在生成xml的程式碼中加入:
        DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
        dbf.setExpandEntityReferences
(false);

如果使用的是DOM4J的Document生成的xml請改成w3c的Document生成。程式碼如下:

        DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
        factory.setExpandEntityReferences(false);
        // 建立DocumentBuilder
        DocumentBuilder builder = factory.newDocumentBuilder();
        // 建立Document
        Document document = builder.newDocument
(); Element rss = document.createElement("rss"); rss.setAttribute("version", "2.0");

(2) 過濾使用者輸入的非法字元,如“<>” “%” “+”等。
在專案filter目錄下加入XssFilter.java和XssHttpServletRequestWrapper.java
同時在web.xml中加入

        <filter>
            <filter-name>XssFilter</filter-name
>
<filter-class>com.xxx.xxx.web.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>

相關推薦

webservice XML實體注入漏洞解決方案

漏洞描述 目標存在webservice XML實體注入漏洞。XML是可擴充套件標記語言,標準通用標記語言的子集,是一種用於標記電子檔案使其具有結構性的標記語言。XML文件結構包括XML宣告、DTD文件型別定義(可選)、文件元素。當允許引用外部實體時,通過構造

淺談XML實體注入漏洞

本文作者:[email protected],本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載 學習了XXE漏洞,自己來總結一下,如果有什麼寫的不到位,不夠好的地方,還請師傅們指出。 0×00 XXE漏洞 XXE漏洞全稱XML External Entity

【XXE技巧拓展】————3、XML實體注入漏洞攻與防

目錄 XML基礎 XML實體注入漏洞的幾種姿勢 防禦XML實體注入漏洞 XML基礎 XML是一種用於標記電子檔案使其具有結構性的標記語言,用於標記電子檔案使其具有結構性的標記語言,可以用來標記資料、定義資料型別,是一種允許使用者對自己的標記語言進行定義的源語言。XM

Android WebView的Js物件注入漏洞解決方案(JSBridge存在的意義)

最近在做一個專案過程中,發現了一個很嚴重的安全漏洞,這個漏洞是烏雲平臺(http://www.wooyun.org)報告出來的。 1,使用場景 我們很多時候要使用WebView來展示一個網頁,現在很多應用為了做到服務端可控,很多結果頁都是網頁的,而不是本地實現,這樣做有很多好處,比如介面的改變不需要重新發布

【程式碼審計】CLTPHP_v5.5.3前臺XML外部實體注入漏洞分析

0x01 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/login/index

PHP環境 XML外部實體注入漏洞(XXE)

XXE XXE漏洞的文章網上就很多了 檔案讀取 <!DOCTYPE root[ <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd"> ]> <

Xml外部實體注入漏洞(XXE)與防護

Xml外部實體注入(XXE) 除了json外,xml也是一種常用的資料傳輸格式。對xml的解析有以下幾種常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而這幾種解析方式都可能會出現外部實體注入漏洞,如微信支付的回撥就出現過(見參考資料2)。

遠程桌面協議中間人攻擊漏洞解決方案

com 選擇 右鍵 ima log font 技術 終端服務 fips 1.啟動“終端服務配置” 2.選擇“連接”,看到“RDP-Tcp”,在其上右鍵,選擇“屬性” 3.“常規”選項卡,將加密級別修改為“符合FIPS標準”,點擊應用 4.重啟主機(?)

麻煩的安全漏洞解決方案

下載 拒絕 攻擊 mar 掃描 vsftpd bar hadoop 集群 1.Hadoop 未授權訪問【原理掃描】 2/4 50% 2 解決方案:配置防火墻,不允許集群外機器訪問50070端口 2.Oracle MySQL SSL證書驗證安全限制繞過漏洞(CVE-2015-

org.hibernate.MappingNotFoundException: resource:**.hbm.xml not found終極解決方案

終於把問題找到了: 凡是出現這個錯誤,一定是路徑的問題。所以 1,檢查你的路徑寫對了沒有,對映檔案的路徑,配置檔案的路徑 2,如果還是出現錯誤,那一定是寫的方式不對~ 如圖 這是我的配置~一開始,我總是直接複製,全路徑,如圖 我一開始總是複製全路徑,然後往裡面放~所以,總出現找不到路

websocket採用tomcat方式,IOC類物件無法注入解決方案

前言 我採用的spring框架做的,主要用於IOC AOP ,spring之前採用的2.0版本。(2.0版本出錯!下面有解釋); 要實現websocket 實現後臺主動與JSP傳送資料。 具體操作 在websocket類中 註解新增如下: import org.springframework.web.s

水平許可權漏洞解決方案

A、水平許可權漏洞,如下圖 假設機構有 使用者A和使用者B 兩個使用者,其中A有1、2和3許可權 , 使用者B有 2 和3 的許可權,這時候假設使用者B 知道1,並給自己新增1的許可權,這時候就是水平許可權漏洞。 水平許可權漏洞一般出現在一個使用者物件關聯多個其他物件(訂單、地

Spring靜態變數不能依賴注入解決方案

          https://blog.csdn.net/persistencegoing/article/details/84376427            

XXE-XML實體注入

XML實體注入? 為什麼稱為XML實體注入=XXE了? 首先,要了解xml文件的構建模組 所有的 XML 文件(以及 HTML 文件)均由以下簡單的構建模組構成:元素、屬性、實體、PCDATA、CDATA 簡單對這幾個模組解釋 1,元素 元素是 XML 以及 HTML 文件的主要構建模組,元

java.lang.NoClassDefFoundError: javax/xml/bind/JAXBException的解決方案

日誌資訊: java.lang.NoClassDefFoundError: javax/xml/bind/JAXBException at org.hibernate.boot.spi.XmlMappingBinderAccess.<init>(XmlMap

spring屬性注入中的date注入異常解決方案

   org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'user' defined in class path resource [applicati

paip.提升安全---網站登入密碼明文傳輸的登入高危漏洞解決方案

個人說明 提供相關技術諮詢,以及解決方案編制,編制相關標準化規範草案,軟體培訓與技術點體系建設,知識圖譜體系化,提供軟體行業顧問佈道,12年的軟體行業背景,歡迎有志於軟體行業的同仁們互相交流,群名稱:標準化規範工作組草案,群   號:518818717, 聯絡方式: [

Microsoft Windows遠端桌面協議中間人攻擊漏洞(CVE-2005-1794)漏洞解決方案(Windows server2003)

本文為轉載轉載自https://www.cnblogs.com/lsdb/p/7210541.htmlhttps://blog.csdn.net/u011728305/article/details/516388961.系統版本:windows server 2003 2.漏

asp.net基礎-xss發貼漏洞解決方案

解決方案:在顯示頁面的伺服器端程式改為 protected void Page_Load(object sender, EventArgs e)     {         //Response.Write(File.ReadAllText("c:/5.txt"));         string s = F

Android橫豎屏切換View設置不同尺寸或等比例縮放的XML解決方案

fill 文件結構 nts mas hang 同名 log lan spa 在一些應用中,涉及到橫豎屏切換,View要切換成不同大小比例尺寸。為解決這種開發場景,有多種解決方案,比如可以重寫View,實現橫豎切換在onMesure或者此類View的回調方法裏面重新測量重新繪