通過JAXB看XML外部實體注入(XML External Entity)

阿新 • • 發佈：2019-01-24

我們先使用JAXB提供的註解標記下java類和XML對映關係：

package jaxb;

import javax.xml.bind.annotation.XmlAccessType;
import javax.xml.bind.annotation.XmlAccessorType;
import javax.xml.bind.annotation.XmlElement;
import javax.xml.bind.annotation.XmlRootElement;

@XmlRootElement
@XmlAccessorType(XmlAccessType.FIELD)
public class Student {

	@XmlElement(name = "name")
	private String name;

	public String getName() {
		return name;
	}

	public void setName(String name) {
		this.name = name;
	}

	@Override
	public String toString() {
		return "Student [name=" + name + "]";
	}

}

下面這個類使用JAXB的API進行物件和xml直接的相互轉換：

package jaxb;

import java.io.FileInputStream;
import java.io.StringReader;
import java.io.StringWriter;

import javax.xml.bind.JAXBContext;
import javax.xml.bind.Marshaller;
import javax.xml.bind.Unmarshaller;
import javax.xml.stream.XMLInputFactory;
import javax.xml.stream.XMLStreamReader;

public class Main {

	public static void main(String[] args) throws Exception {
		String xml = readContent("src/jaxb/1.xml");
		Object obj = xmlToObjectXXE(xml, Student.class);
		System.out.println(objectToXML(obj, Student.class));
	}

	public static String readContent(String file) throws Exception {
		FileInputStream input = new FileInputStream(file);
		byte[] content = new byte[2 * 1024];
		int realBytes = input.read(content);
		input.close();
		return new String(content, 0, realBytes, "UTF-8");
	}

	public static Object xmlToObjectXXE(String xml, Class<?> klass) throws Exception {
		JAXBContext context = JAXBContext.newInstance(klass);
		Unmarshaller unmarshaller = context.createUnmarshaller();
		return unmarshaller.unmarshal(new StringReader(xml));
	}

	public static Object xmlToObjectSafe(String xml, Class<?> klass) throws Exception {
		JAXBContext context = JAXBContext.newInstance(klass);

		XMLInputFactory xif = XMLInputFactory.newFactory();
		xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
		xif.setProperty(XMLInputFactory.SUPPORT_DTD, true);
		XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(xml));

		Unmarshaller unmarshaller = context.createUnmarshaller();
		return unmarshaller.unmarshal(xsr);
	}

	public static String objectToXML(Object obj, Class<?> klass) throws Exception {
		JAXBContext jaxbContext = JAXBContext.newInstance(klass);
		Marshaller marshaller = jaxbContext.createMarshaller();

		marshaller.setProperty(Marshaller.JAXB_FORMATTED_OUTPUT, Boolean.TRUE);
		marshaller.setProperty(Marshaller.JAXB_ENCODING, "UTF-8");
		marshaller.setProperty(Marshaller.JAXB_FRAGMENT, false);

		StringWriter writer = new StringWriter();
		marshaller.marshal(obj, writer);
		writer.close();

		return writer.toString();
	}
}

xmlToObjectXXE()這個方法解析xml，存在XXE注入；而xmlToObjectSafe是安全的解析方式。

比如我們xml內容是：

<!DOCTYPE student[ 

 <!ENTITY my_outer_entity SYSTEM "file:///c:/demo.txt">  
 
]>

<student>
	<name>&my_outer_entity;</name>
</student>

如果使用xmlToObjectXXE得到的結果是：可以明顯地看到XXE攻擊，讀取了c:/demo.txt的內容

如果使用xmlToObjectSafe解析得到結果是：

通過JAXB看XML外部實體注入(XML External Entity)

我們先使用JAXB提供的註解標記下java類和XML對映關係： package jaxb; import javax.xml.bind.annotation.XmlAccessType; import javax.xml.bind.annotation.XmlAccess

XXE注入--XML外部實體注入(XML External Entity)

前言很早就聽說過這個漏洞，但是在實際的環境中很少遇見，最近碰到過XXE注入漏洞，於是就來研究一下XXE注入。 XXE Injection即XML External Entity Inje

xxe XML外部實體注入

xml，允許我們儲存和傳輸資料。也提供了DTD，允許我們進行文件型別定義,外部DTD，定義的實體可以竊取伺服器資訊，上傳至指定的伺服器上。接下來，就模擬一下：xxe，竊取資訊伺服器資訊，上傳至指定伺服器。 1.編寫接收介面：　　 @RequestMapping(

【程式碼審計】CLTPHP_v5.5.3前臺XML外部實體注入漏洞分析

0x01 環境準備 CLTPHP官網：http://www.cltphp.com 網站原始碼版本：CLTPHP內容管理系統5.5.3版本程式原始碼下載：https://gitee.com/chichu/cltphp 預設後臺地址： http://127.0.0.1/admin/login/index

PHP環境 XML外部實體注入漏洞（XXE）

XXE XXE漏洞的文章網上就很多了檔案讀取 <!DOCTYPE root[ <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd"> ]> <

XML檔案的解析以及XML外部實體注入防護

XML外部實體注入例： InputStream is = Test01.class.getClassLoader().getResourceAsStream("evil.xml");//sou

Xml外部實體注入漏洞(XXE)與防護

Xml外部實體注入(XXE) 除了json外，xml也是一種常用的資料傳輸格式。對xml的解析有以下幾種常用的方式：DOM，SAX，JDOM，DOM4J，StAX等。然而這幾種解析方式都可能會出現外部實體注入漏洞，如微信支付的回撥就出現過（見參考資料2）。

XXE(XML External Entity attack)XML外部實體注入攻擊

導語　　XXE：XML External Entity 即外部實體，從安全形度理解成XML External Entity attack 外部實體注入攻擊。由於程式在解析輸入的XML資料時，解析了攻擊者偽造的外部實體而產生的。例如PHP中的simplexml_load 預

Web Hacking 101 中文版十四、XML 外部實體注入（一）

十四、XML 外部實體注入作者：Peter Yaworski 譯者：飛龍 XML 外部實體（XXE）漏洞涉及利用應用解析 XML 輸入的方式，更具體來說，應用程式處理輸入中外部實體的包含方式。為了完全理解理解如何利用，以及他的

PHP環境 XML外部實體註入漏洞（XXE）

base64 pos tps txt system pass 很多 expec resource XXE XXE漏洞的文章網上就很多了文件讀取 <!DOCTYPE root[ <!ENTITY xxe SYSTEM "php://f

.xml外部實體引用

一、語法XML宣告：XML宣告放在XML文件的第一行XML宣告由以下幾個部分組成：version:文件符合xml1.0規範，我們學習1.0encoding:文件字元編碼，比如“GB2312”或者“UTF-8”standalone:文件定義是否獨立使用“no”為預設值表示不獨立

web安全/滲透測試--24--XXE外部實體注入

1、漏洞描述： XXE Injection即XML External Entity Injection，也就是XML外部實體注入攻擊。漏洞是在對非安全的外部實體資料進行處理時引發的安全問題。在XML1.0標準裡，XML文件結構裡定義了實體(entity)這

淺談XML實體注入漏洞

本文作者：[email protected]，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載學習了XXE漏洞,自己來總結一下,如果有什麼寫的不到位，不夠好的地方，還請師傅們指出。 0×00 XXE漏洞 XXE漏洞全稱XML External Entity

unity 通過xml外部載入視訊連結，圖片

載入xml的程式碼 using System.Collections; using System.Collections.Generic; using UnityEngine; using UnityEngine.Events; using System.Xml; using

XXE-XML實體注入

XML實體注入？為什麼稱為XML實體注入=XXE了？首先，要了解xml文件的構建模組所有的 XML 文件（以及 HTML 文件）均由以下簡單的構建模組構成：元素、屬性、實體、PCDATA、CDATA 簡單對這幾個模組解釋 1，元素元素是 XML 以及 HTML 文件的主要構建模組，元

【XXE技巧拓展】————3、XML實體注入漏洞攻與防

目錄 XML基礎 XML實體注入漏洞的幾種姿勢防禦XML實體注入漏洞 XML基礎 XML是一種用於標記電子檔案使其具有結構性的標記語言，用於標記電子檔案使其具有結構性的標記語言，可以用來標記資料、定義資料型別，是一種允許使用者對自己的標記語言進行定義的源語言。XM

看好你的門-攻擊服務端(1)-注入XML內部實體

首先需要宣告，本文純屬一個毫無遠見和真才實學的小小開發人員的愚昧見解，僅供用於web系統安全方面的參考。 1、XML注入在我們經常開發、使用、運維的系統中，XML的使用頻率是非常的高的。我們給伺服器提供資料可能是XML（對使用者而言不是，對系統和服務之

webservice XML實體注入漏洞解決方案

漏洞描述目標存在webservice XML實體注入漏洞。XML是可擴充套件標記語言，標準通用標記語言的子集，是一種用於標記電子檔案使其具有結構性的標記語言。XML文件結構包括XML宣告、DTD文件型別定義（可選）、文件元素。當允許引用外部實體時，通過構造

JAXB工具實現java實體類和xml之間的轉換

<?xml version="1.0" encoding="GBK" standalone="yes"?> <student> <id>1</id> <name>羅志茂</name> <age>25

java使用jaxb解析XML（含根據xml自動生成實體類）

users.xml檔案示例 <?xml version="1.0" encoding="UTF-8"?> <users> <user id="1"> <name>張三</name>

通過JAXB看XML外部實體注入(XML External Entity)

相關推薦