XXE漏洞 解决方案(JAVA版本)

最新推荐文章于 2025-03-09 09:26:44 发布
最新推荐文章于 2025-03-09 09:26:44 发布
阅读量9.5k 收藏 2
点赞数
分类专栏: 黑客攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/goldDaNiu/article/details/80928537
版权
本文探讨了针对XXE(XML外部实体)漏洞的解决方案,以JAVA代码为例,展示了如何处理恶意XML输入,防止攻击者通过外部实体获取系统敏感信息。通过限制XML解析器的配置,可以有效避免此类安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/** 
     * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。 
     * @param strxml 
     * @return 
     * @throws JDOMException 
     * @throws IOException 
     */  
    public static Map doXMLParse(String strxml) throws JDOMException, IOException {  
    //过滤关键词,防止XXE漏洞攻击
    strxml = XMLUtil.filterXXE(strxml);
    //
        strxml = strxml.replaceFirst("encoding=\".*\"", "encoding=\"UTF-8\"");  
  
        if(null == strxml || "".equals(strxml)) {  
            return null;  
        }  
          
        Map m = new HashMap();  
          
        InputStream in = new ByteArrayInputStream(strxml.getBytes("UTF-8"));  
        SAXBuilder builder = new SAXBuilder();  
        Document doc = builder.build(in);  
        Element root = doc.getRootElement();  
        List list = root.getChildren();  
        Iterator it = list.iterator();  
        while(it.hasNext()) {  
            Element e = (Element) it.next();  
            String k = e.getName();  
            String v = "";  
            List children = e.getChildren();  
            if(children.isEmpty()) {  
                v = e.getTextNormalize();  
            } else {  
                v = XMLUtil.getChildrenText(children);  
            }  
              
            m.put(k, v);  
        }  
          
        //关闭流  
        in.close();  
          
        return m;  
    }  
    
    
    /**
     * 防止 XXE漏洞 注入实体攻击
     * 过滤 过滤用户提交的XML数据
     *       过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC。
     */
    public static String filterXXE(String xmlStr){
    xmlStr = xmlStr.replace("DOCTYPE", "").replace("SYSTEM", "").replace("ENTITY", "").replace("PUBLIC", "");
return xmlStr;

    }



//*****************以下为测试 攻击代码***** 内部调试用**************************

//    public static void main(String[] args) {
//        String strxml = XMLUtil.readFileByLines("C:\\text.xml");
//    try {
// XMLUtil.doXMLParse(strxml);
// } catch (JDOMException e) {
// // TODO Auto-generated catch block
// e.printStackTrace();
// } catch (IOException e) {
// // TODO Auto-generated catch block
// e.printStackTrace();
// }

// }

C:\\text.xml 的文件内容如下:

<xml>
<!DOCTYPE a[<!ENTITY b SYSTEM "c:\\123.txt">]>
<reset>
<login>&b;</login>
<secret>login</secret>
</reset>
<return_code><![CDATA[SUCCESS]]></return_code>
<return_msg><![CDATA[OK]]></return_msg>
<appid><![CDATA[wx8775cbf90e1544d5]]></appid>
<mch_id><![CDATA[1406957502]]></mch_id>
<nonce_str><![CDATA[RyXFitfwAY0iqotC]]></nonce_str>
<sign><![CDATA[B60953438AB16569220DC885E15F8E39]]></sign>
<result_code><![CDATA[SUCCESS]]></result_code>
<prepay_id><![CDATA[wx05104307622483a7349606c80845112418]]></prepay_id>
<trade_type><![CDATA[APP]]></trade_type>
</xml>


XXE漏洞利用技巧(XML注入):从XML到远程代码执行
墨痕诉清风的博客
10-12 5049
如今的 web 时代,是一个前后端分离的时代,有人说 MVC 就是前后端分离,但我觉得这种分离的并不彻底,后端还是要尝试去调用渲染类去控制前端的渲染,我所说的前后端分离是,后端 api 只负责接受约定好要传入的数据,然后经过一系列的黑盒运算,将得到结果以 json 格式返回给前端,前端只负责坐享其成,拿到数据json.decode 就行了(这里的后端可以是后台代码,也可以是外部的api 接口,这里的前端可以是传统意义的前端,也可以是后台代码)我们以存在 XXE 漏洞的服务器为我们探测内网的支点。...
网络安全之XXE漏洞复现及防御(上篇)(技术进阶)
weixin_70911257的博客
04-16 1791
xxe漏洞复现
XXE代码审计以及XXE漏洞修复
01-27 1929
java XXE代码审计 java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式 使用DOM解析XML protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String result=""; try { //DOM
Java代码审计 | 第十三篇】XXE漏洞成因、防范及审计思路
最新发布
等风来
03-09 778
XXE(XML External Entity,XML外部实体注入) 是一种安全漏洞,攻击者通过利用XML解析器处理外部实体的功能,读取本地文件、发起网络请求或导致拒绝服务攻击。XXE通常发生在应用程序解析用户提供的XML输入时,未禁用外部实体解析的情况下。禁用外部实体解析、对用户提供的XML输入进行严格的验证、选择默认禁用外部实体解析的库,或在初始化时显式禁用。1、读取本地文件:通过加载外部实体,读取服务器上的敏感文件(如/etc/passwd)。风险:如果未禁用外部实体解析,可能导致XXE漏洞
XXE外部实体注入漏洞的测试和修复——Java
逆水行舟
07-27 6704
测试过程: 代码检测时发现存在XXE问题,可通过自行改造的xml内容,请求存在XXE问题的接口,测试该漏洞。 比如使用如下xml,通过读取document中 testText这个Element,即可获取到test.json中的文件内容: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE entity [ <!ENTITY file SYSTEM "file:///C:/Users/xxx/Desktop/test.json".
javaxxe漏洞修复方法
weixin_30245867的博客
02-28 1543
java中禁止外部实体引用的设置方法不止一种,这样就导致有些开发者修复的时候采用的错误的方法 之所以写这篇文章是有原因的!最早是有朋友在群里发了如下一个pdf, 而当时已经是2019年1月末了,应该不是2018年7月份那个引起较大轰动的alipay java sdk的了,我突然虎躯一震,该不是。。。 进去看了一下,果然是我前不久在github给WxJava提的一个cve漏洞(CV...
JAVA代码审计之深入XXE漏洞挖掘与防御
道阻且长,行则将至
12-16 1120
原先学习和介绍过 XXE 漏洞的基础知识,但是这对于实战中挖掘此类漏洞还是远远不够的。本文将通过 WebGoat 靶场深入学习 XXE 漏洞利用,并聚焦如何在 Java 源码审计过程中发现 XXE 漏洞,以及从研发人员视角该如何规避此类漏洞
Quartz XXE漏洞 CVE-2019-13990
INSBUG的博客
08-17 508
在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。无论你是在构建小型独立应用还是大型复杂系统,Quartz都是一个有力的工具,为你的任务和作业管理提供了强大的调度和计划功能。这些作业的任务被定义为标准的Java组件,可以执行几乎任何你编程的任务。然而,DTD 有一些限制,例如不支持数据类型验证和命名空间,因此在更复杂的场景下,通常会使用其他模式语言如 XML Schema 来进行更严格的验证和定义。
Java中利用EXCEL进行XXE攻击
weixin_42296449的博客
03-31 3589
Java中常见解析Excel引入的XXE组件复现与分析 新建excel文件 修改后缀为.zip 在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC 重新修改后缀为 .xlsx 结果发现 直接通过 SAXReader 来解析xml文档,导致xxe漏洞的产生 修复方案 是在此处增加了一个SAXHelper类来进行防御处理 Apache POI,受影响...
java --XXE 攻击原理及防御
tryheart的博客
09-05 2076
什么是 XEE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。需要强调的是利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要被 XML 中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。 XEE 背景 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采
XXE修复方案参考
oscarli的博客
07-05 2704
XXE不同的库修复代码,略有差别,但都是通过: 1、禁止加载外部实体; 2、不允许XML中含有任何自己声明的DTD。可以解决
XML 外部实体 (XXE) 漏洞及其修复方法
allway2的博客
07-27 6459
PHP拥有可能是最流行的后端Web应用程序语言的称号,因此,它是攻击者的主要目标,包括XXE攻击。由于攻击者经常发现新的漏洞,因此必须保持您的PHP版本是最新的以保护您的应用程序。它们不能用于获取二进制文件,或包含类似于XML但实际上不是有效XML的代码的文件。XXE(XML外部实体注入)是一种常见的基于Web的安全漏洞,它使攻击者能够干扰Web应用程序中XML数据的处理。虽然是一个常见的漏洞,但通过良好的编码实践和一些特定于语言的建议,可以轻松实现防止XXE攻击。...
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
m0_63138919的博客
03-14 2711
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
XXE漏洞修补:保护您的系统免受XML外部实体攻击
weixin_43822401的博客
06-14 676
XXE漏洞通常发生在解析XML文档时,如果允许引用外部实体,攻击者可以构造特殊的XML输入,导致应用程序读取或包含恶意文件或URL。这不仅可能泄露敏感信息,还可能被用于进一步的攻击。XXE漏洞是一个严重的安全问题,它威胁着Web应用程序和服务器的安全。通过本文介绍的修补策略,包括升级libxml版本、在代码层禁用外部实体解析以及过滤用户提交的XML数据,可以有效地减少XXE漏洞的风险。网络安全是一个持续的过程,需要系统管理员和开发者不断更新知识和技能,以应对不断变化的威胁。
JAVA常见的XXE漏洞写法和防御
表弟的博客
08-28 2321
JAVA常见的XXE漏洞写法和防御 貌似最近经常看到有Java项目爆出XXE漏洞并且带有CVE,包括Spring-data-XMLBean XXE漏洞JavaMelody组件XXE漏洞解析、Apache OFBiz漏洞。微信支付SDK的XXE漏洞。本质上xxe漏洞都是因为对xml解析时允许引用外部实体,从而导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。...
XXE原理,利用与修复详解
GalaxySpaceX的博客
07-20 1469
XXE原理+利用+修复
XXE漏洞利用详情和修复
汤圆的博客
02-12 832
简介 xxe也就是xml外部实体注入,简单理解就是当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。 实验环境 PHP版本:5.5.45 中间件:apache 复现平台:漏洞练习平台 利用详情 复制burp生成的地址 ,然后在x...
XXE漏洞以及XXE漏洞如何修复
热门推荐
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XML。XXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
JDOM防XXE注入
h1307405258的博客
07-06 1713
SAXBuilder builder = new SAXBuilder(); builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true); builder.setFeature("http://xml.org/sax/features/external-general-entities", fals...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值