2. 程式人生 > >XML檔案的解析以及XML外部實體注入防護

XML檔案的解析以及XML外部實體注入防護

阿新 發佈:2019-01-29

XML外部實體注入
例:

InputStream is = Test01.class.getClassLoader().getResourceAsStream("evil.xml");//source
XMLInputFactory xmlFactory  = XMLInputFactory.newInstance();  
XMLEventReader reader = xmlFactory.createXMLEventReader(is);  //sink

如果evil.xml檔案中包含如下內容,就可能會造成xml外部實體注入

 <?xml version="1.0" encoding="ISO-8859-1"?>
 

 <!DOCTYPE foo [  
 <!ELEMENT foo ANY >
 <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>

XML檔案的解析與XXE防護

DOM
DOM的全稱是Document Object Model,也即文件物件模型。在應用程式中,基於DOM的XML分析器將一個XML文件轉換成一個物件模型的集合(通常稱DOM樹),應用程式正是通過對這個物件模型的操作,來實現對XML文件資料的操作。

import javax.xml.parsers
 
.DocumentBuilder;  
import javax.xml.parsers.DocumentBuilderFactory;  

...
        DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();  
        System.out.println("class name: " + dbf.getClass().getName());  
        // step 2:獲得具體的dom解析器  
        DocumentBuilder db = dbf.newDocumentBuilder
 
(); 
        // step3: 解析一個xml文件,獲得Document物件(根結點)  
        Document document = db.parse(new File("candidate.xml"));  
        NodeList list = document.getElementsByTagName("PERSON");

防護建議1

 DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
    try {
      // 這是優先選擇. 如果不允許DTDs (doctypes) ,幾乎可以阻止所有的XML實體攻擊
      String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
      dbf.setFeature(FEATURE, true);

        catch (ParserConfigurationException e) {
            // This should catch a failed setFeature feature
            logger.info("ParserConfigurationException was thrown. The feature '" +
                        FEATURE +
                        "' is probably not supported by your XML processor.");
            ...
        }
        catch (SAXException e) {
            // On Apache, this should be thrown when disallowing DOCTYPE
            logger.warning("A DOCTYPE was passed into the XML document");
            ...
        }
        catch (IOException e) {
            // XXE that points to a file that doesn't exist
            logger.error("IOException occurred, XXE may still possible: " + e.getMessage());
            ...
        }



防護建議2

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
    try {
      // 如果不能完全禁用DTDs,最少採取以下措施
      FEATURE = "http://xml.org/sax/features/external-general-entities";
      dbf.setFeature(FEATURE, false);

      FEATURE = "http://xml.org/sax/features/external-parameter-entities";
      dbf.setFeature(FEATURE, false);

      // and these as well, per Timothy Morgan's 2014 paper: "XML Schema, DTD, and Entity Attacks" (see reference below)
      dbf.setXIncludeAware(false);
      dbf.setExpandEntityReferences(false);

      // And, per Timothy Morgan: "If for some reason support for inline DOCTYPEs are a requirement, then ensure the entity settings are disabled (as shown above) and beware that SSRF attacks(http://cwe.mitre.org/data/definitions/918.html) and denial of service attacks (such as billion laughs or decompression bombs via "jar:") are a risk."
      ...

        catch (ParserConfigurationException e) {
            // This should catch a failed setFeature feature
            logger.info("ParserConfigurationException was thrown. The feature '" +
                        FEATURE +
                        "' is probably not supported by your XML processor.");
            ...
        }
        catch (SAXException e) {
            // On Apache, this should be thrown when disallowing DOCTYPE
            logger.warning("A DOCTYPE was passed into the XML document");
            ...
        }
        catch (IOException e) {
            // XXE that points to a file that doesn't exist
            logger.error("IOException occurred, XXE may still possible: " + e.getMessage());
            ...
        }



SAX
SAX的全稱是Simple APIs for XML,也即XML簡單應用程式介面。與DOM不同,SAX提供的訪問模式是一種順序模式,這是一種快速讀寫XML資料的方式。當使用SAX分析器對XML文件進行分析時,會觸發一系列事件,並激活相應的事件處理函式,應用程式通過這些事件處理函式實現對XML文件的訪問,因而SAX介面也被稱作事件驅動介面。

import javax.xml.parsers.SAXParser;  
import javax.xml.parsers.SAXParserFactory;  

        SAXParserFactory factory = SAXParserFactory.newInstance();  
        //step2: 獲得SAX解析器例項  
        SAXParser parser = factory.newSAXParser();  
        //step3: 開始進行解析  
        parser.parse(new File("student.xml"), new MyHandler());

防護建議

參考DocumentBuilderFactory



JDOM
JDOM(Java-based Document Object Model)是一個開源專案,它基於樹型結構,利用純JAVA的技術對XML文件實現解析、生成、序列化以及多種操作。

import org.jdom.Attribute;  
import org.jdom.Document;  
import org.jdom.Element;  
import org.jdom.input.SAXBuilder;  
import org.jdom.output.Format;  
import org.jdom.output.XMLOutputter;  

...
        SAXBuilder builder = new SAXBuilder();  
        Document doc = builder.build(new File("jdom.xml"));  
        Element element = doc.getRootElement();



DOM4J
DOM4J(Document Object Model for Java),採用Java集合框架,並完全支援DOM、SAX和JAXP

StAX
StAX(Streaming API for XML) 就是一種拉分析式的XML解析技術(基於流模型中拉模型的分析方式就稱為拉分析)。StAX包括兩套處理XML的API,分別提供了不同程度的抽象。它們是:基於指標的API和基於迭代器的API。
可以讓我們使用基於指標的API的介面是javax.xml.stream.XMLStreamReader(很遺憾,你不能直接例項化它),要得到它的例項,我們需要藉助於javax.xml.stream.XMLInputFactory類。

//獲得一個XMLInputFactory例項
XMLInputFactory factory = XMLInputFactory.newInstance();  
//開始解析
XMLStreamReader reader = factory.createXMLStreamReader(new FileReader("users.xml"));



防護建議

XMLInputFactory factory = XMLInputFactory.newInstance();
factory.setProperty(XMLInputFactory.SUPPORT_DTD, false);  //會完全禁止DTD
XMLStreamReader reader = factory.createXMLStreamReader(new FileReader("users.xml"));

相關推薦

XML檔案解析以及XML外部實體注入防護

XML外部實體注入 例: InputStream is = Test01.class.getClassLoader().getResourceAsStream("evil.xml");//sou

xxe XML外部實體注入

xml,允許我們儲存和傳輸資料。也提供了DTD,允許我們進行文件型別定義,外部DTD,定義的實體可以竊取伺服器資訊,上傳至指定的伺服器上。   接下來,就模擬一下:xxe,竊取資訊伺服器資訊,上傳至指定伺服器。   1.編寫接收介面:    @RequestMapping(

【程式碼審計】CLTPHP_v5.5.3前臺XML外部實體注入漏洞分析

0x01 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/login/index

JAVA以及JSP中讀取XML檔案(解析及路徑問題)

    在系統開發過程中,從配置檔案中讀取配置資訊是每一個系統必須具備的功能,例如,我們要配置讀取資料庫配置資訊,包括驅動程式名、連線字串,使用者名稱,口令等資訊,由於這些資訊會隨著使用者的不同而發生

PHP環境 XML外部實體注入漏洞(XXE)

XXE XXE漏洞的文章網上就很多了 檔案讀取 <!DOCTYPE root[ <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd"> ]> <

通過JAXB看XML外部實體注入(XML External Entity)

我們先使用JAXB提供的註解標記下java類和XML對映關係: package jaxb; import javax.xml.bind.annotation.XmlAccessType; import javax.xml.bind.annotation.XmlAccess

XXE注入--XML外部實體注入(XML External Entity)

前言 很早就聽說過這個漏洞,但是在實際的環境中很少遇見,最近碰到過XXE注入漏洞,於是就來研究一下XXE注入。 XXE Injection即XML External Entity Inje

Xml外部實體注入漏洞(XXE)與防護

Xml外部實體注入(XXE) 除了json外,xml也是一種常用的資料傳輸格式。對xml的解析有以下幾種常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而這幾種解析方式都可能會出現外部實體注入漏洞,如微信支付的回撥就出現過(見參考資料2)。

XXE(XML External Entity attack)XML外部實體注入攻擊

導語   XXE:XML External Entity 即外部實體,從安全形度理解成XML External Entity attack 外部實體注入攻擊。由於程式在解析輸入的XML資料時,解析了攻擊者偽造的外部實體而產生的。例如PHP中的simplexml_load 預

web.xml檔案解析以及tomcat啟動常見錯誤總結一哈。

【1.在web.xml裡配置Listener】 xml 程式碼如下: <listener> <listener-class> org.springframework.web.context.ContextL

Web Hacking 101 中文版 十四、XML 外部實體注入(一)

十四、XML 外部實體注入 作者:Peter Yaworski 譯者:飛龍 XML 外部實體(XXE)漏洞涉及利用應用解析 XML 輸入的方式,更具體來說,應用程式處理輸入中外部實體的包含方式。為了完全理解理解如何利用,以及他的

解析Xml檔案以及新建asserts檔案目錄

新建asserts檔案目錄: 選中app目錄右鍵,new  >  Folder  >  Asserts Floder,就OK了。 接下來解析xml檔案,還有解析json的,這裡提供一個解析xml的工具類: 在Asserts下新建Hello.xml:

Android7.1 [Camera] cam_board.xml 檔案解析原始碼分析(一)

        原始碼平臺:rk3399           RK支援了很多個攝像頭,在驅動目錄hardware/rockchip/camer

技術總結:XML檔案解析

近期整理了以前的程式碼,將XML檔案的解析程式碼程式設計了一個工具。通過Document類得到一個NodeList,遍歷其得到標籤,通過標籤得到XML檔案的內容。利用抽象方法提供給使用者處理檔案的介面。程式碼如下: /* * @auther yc * 2018/10/1

Xml—dom4j解析以及寫入xml文件時的亂碼問題

book.xml <?xml version="1.0" encoding="UTF-8"?> <書架>   <書>     <書名>Java就業基礎教程</書名>      <作者>張孝祥</作者

struts2中struts.xml和web.xml檔案解析及工作原理

web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app id="WebApp_9" version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmln

xml檔案解析—DOM方式

1:xml檔案<?xml version="1.0" encoding="UTF-8"?> <bookstore> <book id="1"> <name>豬1戒</name>

xml檔案解析-dom4j解析

1 package cn.sxt.day0105.dom4j; 2 3 import java.io.File; 4 import java.util.Iterator; 5 6 import org.dom4j.Attribute; 7 import org.dom4j.Docume

xml檔案解析--libxml2庫函式解釋

本指南中的例子程式碼示範如何做到:  • 解析文件  • 取得指定元素的文字  • 新增一個元素及它的內容  • 新增一個屬性  • 取得一個屬性的值  例子的完整程式碼包含在附錄中     資料型別 Libxml定義了許多資料型別,我們將反覆碰到它們,它隱藏了雜亂的來源以致你不必處理它除非你有特定的需要

Java如何解析某個目錄下xml檔案,將XML檔案轉換為報表資料來源?

在Java開發的報表工具FineReport中,假如在目錄下儲存了幾個XML檔案,希望把XML檔案轉換為報表資料來源,同時希望展示動態xml資料來源的效果,這時可通過引數的方式,動態獲取xml欄位中的值再作為報表資料來源。Northwind.xml記錄資料格式如下:<?