JAXB- XML外部实体注入安全代码漏洞(XXE)

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量2.1k 收藏 4
点赞数 2
分类专栏: XXE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_24702263/article/details/106138420
版权
本文介绍了JAXB(Java Architecture for XML Binding)的基本概念,以及XML外部实体注入(XXE)的安全风险,如文件读取、命令执行等。提供了解决XXE漏洞的方法,包括修改代码中的xmlToObjectSafe()方法,以及参考OWASP的XML External Entity Prevention Cheat Sheet进行防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XXE攻击 (XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。

具体的可以看:https://blog.youkuaiyun.com/qq_24702263/article/details/106137827

JAXB是什么?

JAXB实现了java对象与xml之间的转换

package com.jaxb;
 
import java.io.FileInputStream;
import java.io.StringReader;
import java.io.StringWriter;
import javax.xml.bind.JAXBContext;
import javax.xml.bind.Marshaller;
import javax.xml.bind.Unmarshaller;
import javax.xml.stream.XMLInputFactory;
import javax.xml.stream.XMLStreamReader;
 
public class TestJaxb {
	//读取文件
	public static String readContent(String file) throws Exception {
		FileInputStream input = new FileInputStream(file);
		byte[] content = new byte[2 * 1024];
		int realBytes = input.read(content);
		input.close();
		return new String(content, 0, realBytes, "UTF-8");
最低0.47元/天 解锁文章
Java代码审计——WebGoat XML外部实体注入(XXE)
m0_61506558的博客
11-16 878
在进行代码分析之前,要先懂漏洞产生的原理,不妨看看这篇文章,WebGoat上面描述的也不错,值得研读。
Day66:WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入
2301_82257383的博客
04-26 492
MyBatis支持两种参数符号,一种是#,另一种是KaTeX parse error: Expected 'EOF', got '#' at position 4: ,**#̲使用预编译,使用拼接SQL。(造成注入原因也是因为使用了$进行拼接)**:由于使用#{}会将对象转成字符串,形成order by “user” desc造成错误,因此很多研发会采用${}来解决,从而造成注入这个SQL语句的目的是将0x7e以及当前用户的用户名插入到指定的XML字段中,从而执行恶意操作或泄露敏感信息。
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 5050
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
Java代码审计安全-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 1363
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
运用JAXB实现xml实体的按需注入
weixin_33893473的博客
03-06 162
为什么80%的码农都做不了架构师?>>> ...
JAXB 使用线程安全问题
hupy2007的专栏
06-05 1185
JAXB是一个 java bean与xml之间相互转换的非常方便的工具,可以再很大程度上解放我们解析xml的过程。   使用方法: 1、定义全局的context   private static final JAXBContext context = JAXBContext.newInstance(XXXX.class);  2、 xml 转成 javabean Unmarsh...
Java怎么xml拒绝_java-如何忽略使用JAXB绑定到XML的字段
weixin_39598501的博客
02-28 415
我有一个像这样的简单班级import nl.hu.pf.coproco.model.Observeable;@XmlRootElement (name = "Purpose")@XmlAccessorType (XmlAccessType.FIELD)public class Purpose implements Observeable{private String name;private Ar...
使用JAXB实现XML转对象导致XXE漏洞防护
路穆里奇
05-29 1434
安全写法,存在漏洞: public static Object convertXmlToObj(Class clazz, String xmlStr)throws Exception { JAXBContext context = JAXBContext.newInstance(clazz); Unmarshaller unmarshaller = context.creat...
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...
信息安全_xxe注入应用与拓展.pptx
08-14
XXE,全称为XML External Entity Injection,是针对XML解析器的一种安全漏洞,它利用XML文档中的外部实体(External Entity)来获取系统敏感信息或执行恶意操作。XML实体允许开发者引用外部资源,如本地文件、网络...
XXE外部实体注入漏洞的测试和修复——Java
逆水行舟
07-27 6734
测试过程: 代码检测时发现存在XXE问题,可通过自行改造的xml内容,请求存在XXE问题的接口,测试该漏洞。 比如使用如下xml,通过读取document中 testText这个Element,即可获取到test.json中的文件内容: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE entity [ <!ENTITY file SYSTEM "file:///C:/Users/xxx/Desktop/test.json".
JAXB血案之 XML外部实体注入漏洞(XXE)
weixin_47397751的博客
01-12 1477
1.漏洞描述 XML外部实体注入漏洞,即XXEXML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 2.JAXB是什么? JAXB实现了java对象与xml之间的转换,使用的注解主要有: (1)@XmlRootElement:用于类级别的注释,对应XML的根节点。参数: name 定义这个根节点的名称 namespace 定义这个根节点命名空间 (2)
JAVA常见的XXE漏洞写法和防御
表弟的博客
08-28 2328
JAVA常见的XXE漏洞写法和防御 貌似最近经常看到有Java项目爆出XXE漏洞并且带有CVE,包括Spring-data-XMLBean XXE漏洞、JavaMelody组件XXE漏洞解析、Apache OFBiz漏洞。微信支付SDK的XXE漏洞。本质上xxe漏洞都是因为对xml解析时允许引用外部实体,从而导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。...
Xml 序列化与反序列化 xml转换成对象 对象转xml
daijianzhou的专栏
08-07 295
package com.djz.tools.xml; import javax.xml.bind.JAXBContext; import javax.xml.bind.JAXBException; import javax.xml.bind.Marshaller; import javax.xml.bind.Unmarshaller; import java.io.Reader; import java.io.StringReader; import java.io.StringWriter; publ
XStream反序列化漏洞分析二
weixin_44825990的博客
12-13 1002
XStream反序列化流程及CVE-2020-26217漏洞分析
Xml解析校验引起的依赖问题
放翁(文初)的一亩三分地
04-06 3420
        假期结束,开始收心回来继续工作。晚上有一个项目要发布,公司的同事突然打手机给我,说ASF的文件解析又出了上次的问题,希望尽快解决。 问题描述: 上一次问题:多台机器运行同一个分支的应用,但是有些机器正常,有一台机器始终在启动的时候报文件解析错误,从提示看来,主要是因为解析配置文件的时候校验dtd失效,这台机器无法连接外网。最后降低了我们内部的核心解析包,问题
SpringMVC中的XXE漏洞测试
热门推荐
Exploit的小站~
05-10 1万+
SpringMVC框架支持XML到Object的映射,内部是使用两个全局接口Marshaller和Unmarshaller,一种实现是使用Jaxb2Marshaller类进行实现,该类自然实现了两个全局接口,用来对XML和Object进行双向解析。并且XML文件可以是DOM文档、输入输出流或者SAXhandler。 SpringMVC流行使用注解来快速开发,其中JAXB注解可以对JavaBea...
XXE注入--XML外部实体注入(XML External Entity)
u011215939的博客
05-19 1万+
前言 很早就听说过这个漏洞,但是在实际的环境中很少遇见,最近碰到过XXE注入漏洞,于是就来研究一下XXE注入XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全外部实体数据进⾏行处理时引发的安全问题 XML知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值