防止 XML外部实体注入

最新推荐文章于 2025-07-12 07:56:19 发布
最新推荐文章于 2025-07-12 07:56:19 发布
阅读量6.6k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: java 代码审计 文章标签: java 运维 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gjp014/article/details/84926133
方式一

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
// 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击
String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
dbf.setFeature(FEATURE, true);

FEATURE = "http://xml.org/sax/features/external-general-entities";
dbf.setFeature(FEATURE, false);

FEATURE = "http://xml.org/sax/features/external-parameter-entities";
dbf.setFeature(FEATURE, false);

FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
dbf.setFeature(FEATURE, false);

dbf.setXIncludeAware(false);
dbf.setExpandEntityReferences(false);
org.w3c.dom.Document documentW3c = dbf.newDocumentBuilder().parse(tempFile);

方式二

JAXBContext context = JAXBContext.newInstance(klass);

XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
xif.setProperty(XMLInputFactory.SUPPORT_DTD, true);
XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(xml));

Unmarshaller unmarshaller = context.createUnmarshaller();
return unmarshaller.unmarshal(xsr);
XXE&XML-外部实体注入-利用和绕过
weixin_44532761的博客
07-25 731
小迪 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=38 概念 这里是引用 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执
java xml 实体注入_防止 XML外部实体注入
weixin_35193765的博客
02-16 2987
方式一DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();// 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";dbf.setFea...
XML文件的解析以及XML外部实体注入防护
热门推荐
u013224189的专栏
11-10 3万+
XML外部实体注入 (XXE防护)
XML外部实体注入与修复方案
最新发布
zqmattack的博客
07-12 1257
XML外部实体注入(XXE)是一种严重的安全漏洞,攻击者利用XML解析器处理外部实体的功能读取服务器文件、发起SSRF攻击或执行拒绝服务攻击。修复方案包括:1)禁用XML解析器的外部实体处理功能;2)使用安全的XML库如defusedxml;3)输入验证过滤敏感关键字;4)输出编码避免直接输出;5)服务器层防御如WAF规则。关键原则是彻底禁用DTD和外部实体解析,并通过安全测试验证防护效果。
PHP安全:XML注入漏洞防护
yihuliunian的博客
09-09 1619
XML注入攻击也称为XXE(XML External Entity attack)漏洞,XML文件的解析依赖于libxml库,libxml 2.9及以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的XML文件时未对XML文件引用的外部实体(含外部普通实体和外部参数实体)进行合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在XML文件中声明URI指向服务器本地的实体造成攻击。 XXE漏洞一旦被攻击者利用,可以读取服务器任意文件、执行任意代码、发起DDos攻击。 在
网络安全-XXE(XML外部实体注入)原理、攻击及防御
关注网络安全、云原生安全
09-07 5622
目录 前言 简介 原理 攻击 防御 禁用外部实体 过滤用户提交的XML数据 前言 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 博主之前用xml也没有使用过DTD,因为是可选的嘛,这里就简单说一下,学过的跳过。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。 内部声明DTD <!DOCTYPE 根元素 [元素声明]>引用外部DTD文档 <!DOCTYPE 根元素 SYSTE
网络安全-XXE(XML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入
2401_84266286的博客
05-04 747
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
网络安全-XXE(XML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入(1)
2401_84544752的博客
05-14 483
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
java xml 实体注入_XML外部实体注入漏洞(XXE)
weixin_35917998的博客
02-16 1249
转自腾讯安全应急响应中心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD根元素 [元素声明]>引...
走进SpringBoot自动配置类,自定义一个依赖包,拒绝XML配置
qq_20783497的博客
08-24 517
自定义核心装配依赖 准备一创建一个maven项目 注意命名一定要规范,不能用Spring-Boot开头,用自定义的名称开头 按照文档说的 thirdpartyproject-spring-boot-starter. 项目结构 配置pom.xml 添加 父标签 和两个依赖包 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-.
预防xml注入漏洞攻击_预防性编程-漏洞发生前如何修复
cumi6497的博客
07-07 2839
预防xml注入漏洞攻击by Kurt 由库尔特 福尔摩斯(Sherlock Holmes)本来是个出色的程序员 (Sherlock Holmes would have been a brilliant programmer) 错误是不可避免的。 (Bugs are inevitable.) It is quite normal to spend more time debugging tha...
【XXE技巧拓展】————3、XML实体注入漏洞攻与防
Fly_鹏程万里
12-24 2142
目录 XML基础 XML实体注入漏洞的几种姿势 防御XML实体注入漏洞 XML基础 XML是一种用于标记电子文件使其具有结构性的标记语言,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 XML技术基础我在这里将不在详细解读,有兴趣的小伙伴可以通过...
java XML解析防止外部实体注入
weixin_30653023的博客
03-27 2107
  /** * 增加防止部实体注入逻辑 * <功能详细描述> * @param reader * @throws SAXException * @see [类、类#方法、类#成员] */ public static void setReaderFeature(SAXReader reader) ...
项目中配置防止sql注入(springboot)
weixin_39728880的博客
09-19 9051
在项目中我们经常会遇到这些sql注入的问题,这边我介绍的是通过filter拦截的方式进行过滤一些sql脚本的注入,在平时编程的时候我们也要注意,在程序中编写sql脚本(mapper.xml) 文件的时候能用#尽量用#,避免一个恶意攻击网站的人。 首先介绍一下#和$的区别: #{}:占位符号,好处防止sql注入,自带单引号变量 ${}:sql拼接符号,原生变量 接下来介绍写在java项目中(s...
DOM解析之DOM防护-XXE(外部实体注入漏洞)
就写一行代码
11-20 1342
最新的项目被微信告知一个漏洞需要解决,说是“XML外部实体注入漏洞” 也就是说 涉及微信回调解析xml的过程需要补充一个防止外部实体注入的代码,以下以DOM为例。 具体代码如下: 这个是一个公共的方法 用来解析之前加入xml防护 package com.net.pay.wxpay.util; import java.io.IOException; import javax.xml...
xml外部注入的问题处理
weixin_30361641的博客
04-15 208
https://gjp014.iteye.com/blog/2430885 转载于:https://www.cnblogs.com/chaojibaidu/p/10711672.html
关于xml实体攻击的讨论
tlxamulet的博客
02-12 1028
xml实体攻击
(39.3)【XML漏洞专题】XML注入——查找、注入防止SOAP
08-20 2350
XML漏洞专题】XML注入——查找、注入防止SOAP
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
m0_63138919的博客
03-14 2917
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
xml外部实体注入
04-03
### XXE漏洞原理 XML外部实体注入(XXE,XML External Entity Injection)是一种针对XML解析器的安全漏洞。当应用程序使用不受信任的数据作为输入并将其传递给XML解析器时,如果该解析器未正确配置,则可能允许攻击者定义恶意的外部实体[^1]。 #### 原理概述 XML支持通过`DOCTYPE`声明来引用外部实体文件。这些外部实体可以指向本地文件系统中的资源或远程URL。一旦攻击者能够控制XML输入的内容,他们就可以利用此功能访问敏感信息、执行拒绝服务攻击甚至发起服务器端请求伪造(SSRF)攻击[^4]。 例如,以下是一个简单的XXE攻击示例: ```xml <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo> ``` 上述代码尝试读取目标机器上的`/etc/passwd`文件内容,并将其嵌入到响应中返回给攻击者[^3]。 --- ### 防护措施 为了有效防止XXE攻击的发生,可以从以下几个方面入手实施防护策略: #### 1. **禁用外部实体** 大多数现代XML库都提供了选项用于关闭对外部实体的支持。这是最直接也是最重要的防御方式之一。例如,在libxml2版本2.9.0之后,默认情况下不会自动加载任何外部实体,除非显式启用这一行为[^2]。 对于Java环境下的SAXParserFactory实例化过程来说,可以通过设置特定属性来强化安全性: ```java DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); dbf.setFeature("http://xml.org/sax/features/external-general-entities", false); dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false); ``` 以上代码片段展示了如何通过调整工厂对象的功能特性以杜绝潜在风险点的存在。 #### 2. **升级依赖组件** 确保所使用的第三方库始终处于最新稳定状态非常重要。因为很多旧版软件可能存在已知漏洞而未能及时修复的情况。比如前面提到过的libxml2项目,在其后续迭代过程中逐步增强了关于安全性的考量。 另外值得注意的是,除了单纯依靠更新之外还需要关注官方发布的补丁说明以及迁移指南等内容以便顺利完成过渡工作而不影响现有业务逻辑正常运转。 #### 3. **验证用户提交数据的有效性和合法性** 无论何时接收到来自客户端或其他不可信源发送过来的信息之前都应该先经过严格校验流程再进一步处理下去 。这不仅限于单纯的字符串匹配操作还包括但不限于长度限制检查、字符集范围界定等方面的工作。 #### 4. **采用更安全替代方案** 考虑完全放弃传统基于DOM/SAX模型的传统做法转而选用JSON等形式表达结构化的数据交换需求不失为一种可行的选择方向。毕竟后者天生不具备类似的弱点特征从而大大降低了遭受此类威胁的可能性。 --- ### 结论 综上所述,通过对XXE漏洞形成机制的理解我们可以采取多种有效的预防手段加以应对,其中包括但不限于禁用不必要的功能性模块如外部实体引用能力;定期审查维护相关技术栈保持与时俱进的态度积极拥抱新特性带来的改进成果等等。只有这样才能够最大程度保障信息系统免受未知隐患侵害的同时持续提供高质量的服务体验给最终使用者群体带来价值最大化的效果体现出来。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值