本文探讨了NC Web服务接口存在的XXE注入风险,主要集中在接口返回XML的格式化操作和不同服务容器(如Tomcat和WAS)的类加载方式。通过分析XMLInputFactory的实例化过程,指出在特定情况下,使用XMLInputFactoryImpl可能导致实体声明的执行,从而引发安全问题。提出了三种解决方案,包括在拦截器中拦截敏感字符、指定XMLInputFactory子类实例化和设置属性禁用实体解析。
有风险的地方有两个
1.接口返回xml的格式化操作,SoapFormatAction,但是一般都打了补丁做了处理
实际上还可以在org.apache.xalan.transformer.TransformerIdentityImpl里解析之前加上下面代码也可以防止注入
2.调用接口时,一般来说如果服务是由home里startup.bat/startup.sh(tomcat)来启动的话是不会有风险的,但如果服务是由was启动,就会存在此风险。估计原因时两种服务容器的类加载方式不一样,据查tomcat的类加载器,不完全遵循“双亲委派”,就是自己先找,找不到了才让父加载器加载,而was应该是先交给父加载器加载。
调用接口时,NC采用的是XMLStreamReader来解析的,而它又是由XMLInputFactory来创建的,然而XMLInputFactory再NC里有三个jar包里都有而且路径一致
如果XMLInputFactory实例化的时候用的是jdk的XMLInputFactoryImpl,那就会有问题,而用的是tika-app里的WstxInputFactory就不会有,
最低0.47元/天 解锁文章
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
